Zusammengefasst
Spätenstens seit der Novelle der Datenschutz-Grundverordnung, benötigen alle Anbieter im Internet Zertifikate für Verschlüsselungen. Let‘s Encrypt hebelt mit seinen kostenlosen Zertifikaten für Internetverschlüsselung das Angebot der Anbieter mit jährlicher Kostenpauschale aus. Damit ist es jetzt jedem Anbieter von Inhalten im Internet möglich, die Kommunikation über die eigene Website kostenfrei zu verschlüsseln. LfdA bietet Let's Encrypt gegen Berechnung einer Einrichtungspauschale an. Danach fallen keine Kosten an.
Schlüssel im Internet
Fast alle professionellen Internetseiten in Europa verfügen über eine Verschlüsselung über Transport Layer Security (kurz TLS, vormals Secure Socket Layer-Verfahren, kurz SSL).
Eine mit TLS geschützte Internetseite erkennt man im Internetbrowser am typischen „https://“, welches statt dem „http://“ der URL vorangestellt ist. TLS wird nicht nur bei Internetseiten, sondern auch anderen Verbindungen, z.B. E‑Mail oder Dateiübertragungen (SFTP) verwendet.
Früher waren Schlüssel teuer – dann kam Let‘s Encrypt
Bis 2015 hatten viele kleine Internetseiten keine Verschlüsselung. E-Commerce-Unternehmen und andere Betriebe, für die Verschlüsselung wichtig war, mussten Zertifikate bei den Certificate-Authorities (CA) erwerben.
Zu diesen Anbietern gehörten zum Beispiel Firmen wie Symantec, Verisign, GlobalSign oder Comodo. Bei diesen Firmen kosteten Zertifikate abhängig von der Dimension der Nutzung 20 bis 1.000 Euro im Jahr.
Am 14. September 2015 ging Let‘s Encrypt an die Öffentlichkeit. Let‘s Encrypt bietet die Zertifikate für Schlüssel völlig kostenfrei an. Die Finanzierung und technische Unterstützung der 6 Mitarbeiter (Stand Dez. 2017) und 2 Serverschränke von Let‘s Encrypt läuft über große Player der Internetbranche, wie z.B. Cisco, Google, Facebook. Wofür also bis vor kurzer Zeit in der Summe Millionenbeträge flossen, ist jetzt eine Dienstleistung geworden, die von ein paar Unternehmen kostenfrei für alle Benutzer „aus der Portokasse“ angeboten wird.
Die oben genannten kostenpflichtigen Anbieter sind noch am Markt. Aber spätestens seit Let‘s Encrypt sein Angebot auch auf kostenfreie Zertifikate für alle Subdomains (Wild Card Zertifikate) ausgedehnt hat, gibt es eigentlich keinen Grund, nicht Let‘s Encrypt als Serviceanbieter zu nutzen.
So stark ist Let‘s Encrypt gewachsen
Am 14. September 2015 ging Let‘s Encrypt an den Start. Aktuell (Juli 2019) sind über 170 Mio Domains über Let's Encrypt verschlüsselt. Übrigens waren es im Juli 2018 (nur) ca. 80 Millionen. Von August bis Mitte September kamen allein ca. 50 Millionen Domains dazu. Dies war nicht zuletzt wohl auch eine Spätfolge der Europäischen Datenschutz-Grundverordnung (DSGVO).
Let‘s Encrypt hat damit mehr als die Hälfte aller Zertifikate für private Schlüssel ausgestellt, die zur Zeit vergeben wurden. Den aktuellen Status kann man am besten per Twitter verfolgen:
So funktioniert das mit den Schlüsseln
Beim TLS-Verfahren handelt es sich um eine Form der symmetrischen Verschlüsselung, bei der Sender und Empfänger einen gemeinsamen aber natürlich geheimen gemeinsamen Schlüssel verwenden. Dieses ist der sogenannte Private-Key. Der Public-Key ist der öffentlich bekannte Schlüssel, der die Daten verschlüsselt.
Zertifikate benötigt man dafür, um sicherzustellen, dass die Schlüssel „echt“ sind. Die Echtheit wird mit dem öffentlichen Schlüssel des Ausstellers des Zertifikates geprüft.
Natürlich ist Verschlüsselung – wie so vieles – sehr kompliziert. In vereinfachter Form funktioniert Verschlüsselung so:
Im Internet wollen ein User und ein Server mit einem gemeinsamen, nur ihnen bekannten Schlüssel kommunizieren. Dafür ist gegenseitiges Vertrauen notwendig, welches im Austausch von Zertifikaten und öffentlichen Schlüsseln hergestellt wird.
Nach der ersten "Begrüßung", oft verbunden mit dem Wunsch der Verschlüsselung, bietet der Server Verschlüsselungsmethoden an. Als User wählt man die Verschlüsselungsmethode (z.B. TLS) und erhält den öffentlichen Schlüssel und das Zertifikat des Anbieters. Nach einer Prüfung wird eine verschlüsselte Nachricht mit einem Public Key versandt, die vom Server/Anbieter wiederum entschlüsselt wird. Nach diesem Austausch wird zwischen dem Endgerät (User, Internetbrowser) und dem Server mit dem symmetrischen, gemeinsamen Schlüssel kommuniziert.
Sehr viel Sicherheit auf kleinem Raum
Eine Certificate Authority wie Let‘s Encrypt stellt Zertifikate für (private) Schlüssel aus. Dafür benötigt auch Let‘s Encrypt einen privaten Schlüssel bzw. ein Zertifikat. Wenn dieser Schlüssel abhanden kommt oder öffentlich wird wäre das verheerend. 380 Millionen Zertifikate wären wertlos. Die Kommunikation über diese Internetseiten wäre unsicher.
Diese Zertifikate müssen also sicher gelagert werden. Hier reichen keine (Software-)-Firewalls. Vielmehr kann man an eine bunkerähnliche Sicherung wie bei James Bonds „Golden Eye“ denken. Groß braucht dieser Sicherheitsbunker allerdings nicht zu sein. Die zwei Serverschränke von Let‘s Encrypt mit gerade mal 70 Units brauchen den Platz einer ganz kleinen Garage – und bei Neuinvestitionen in Computer wird sogar noch weniger Platz benötigt.
Kaum vorstellbar, dass so ein großer Teil unserer weltweiten Datensicherheit auf so kleinem Raum stattfindet. Wir vertrauen darauf, dass die Schlüssel sicher verwahrt sind.
Bei LfdA erhalten Sie kostenfreie Zertifikate von Let's Encrypt für Ihren verschlüsselten Serverbetrieb. Wir richten diese gegen eine vergleichsweise geringe Einrichtungsgebühr für Sie ein.
Hosting mit LfdA – natürlich verschlüsselt.
Wir hosten die Seiten unserer Kunden auf eigenen Servern bei unserem Partner n@work Informationssysteme. Die Einrichtung der Verschlüsselung mit Let's Encrypt bieten wir gegen eine Servicepauschale an. Bei Fragen kontaktieren Sie uns einfach. Wir freuen uns auf Ihre Anfrage.