[Netzwelt] SSL-Zertifizierungstelle Let's Encrypt kann bald die Arbeit aufnehmen

Die SSL-Zertifizierungstelle Let's Encrypt, welche durch die gemeinnützige Organisation Internet Security Research Group (ISRG) und diversen Sponsoren wie Mozilla, EFF, oder Cisco ist Leben gerufen wurde steht kurz davor den offiziellen Betrieb aufzunehmen. Let's Encrypt will ab Mitte 2015 allen interessierten Serverbetreibern ein kostenloses, von den Browsern sofort akzeptiertes TLS-Zertifikat anbieten. Vor kurzem wurden die hierfür nötigen Wurzelzertifikate erstellt.

Die Zertifikate der Nutzer werden über Zwischenstelle (Intermediate CA) ausgestellt, was der üblichen Praxis entspricht damit das Wurzelzertifikat offline bleiben kann. Die Zwischenzertifikate werden von Identrust (einem Dienstleister im Bankensektoren dessen Zertifikate in jedem gängigen Browser als vertrauenswürdig eingestuft werden) signiert. Somit sollte eine Seite die mit einem Zertifikat von Let's Encrypt versehen ist, ohne Eingreifen der Besucher mit https funktionieren. Let's Encrypt wird aber dennoch versuchen als das Wurzelzertifikat als vertrauenswürdig in den gängigen Browsern unterzubringen.

Vorerst werden RSA-Schlüssel verwendet. Diese sollen aber von ECDSA abgelöst werden. Auf der Seite des Seitenbetreibers sollen unter Linux zwei Befehle ausreichen um das Zertifikat zu erstellen. Einmal die Installation des Pakets lets-encrypt und anschließend mit dem Befehl lets-encrypt example.com (example.com steht hier für die betreffende Domain für die das Zertifikat ausgestellt werden soll). Mehr soll nicht nötig sein. Den genauen Ablauf kann man unter

You do not have permission to view link please Anmelden or Registrieren

nachlesen.

Quelle:

You do not have permission to view link please Anmelden or Registrieren

und

You do not have permission to view link please Anmelden or Registrieren

 

[mathmos]

Nginx bzw. das Plugin hierfür macht wohl Probleme (

You do not have permission to view link please Anmelden or Registrieren

). Eventuell war das der Grund für phre4k's Frage.

 

[sia]

Das Ding ist eben, dass es nur eine automatisierte Möglichkeit gibt, das Cert zu bekommen (u.A. um Betrug zu vermeiden) und die Certs nur wenige Wochen Laufzeit haben (iirc).

Im Moment wird anscheinend nur der Apache wirklich gut unterstützt. Das Projekt dann "let's encrypt" zu nennen, finde ich schon etwas großspurig. Vielleicht eher "let's encrypt Apache on Port 80" (letsencrypt-apacheonport80.website)?

 

[mathmos]

Der Client hat meines Wissens nach einen manuellen Modus. Davon abgesehen ist der Client

You do not have permission to view link please Anmelden or Registrieren

so dass man nachvollziehen kann was er macht. Diese Schritte sollte man dann auch per Hand, einen nach den anderen abarbeiten können. Gültig sind die Zertifikate derzeit 90 Tage. Die Begründung kann man unter

You do not have permission to view link please Anmelden or Registrieren

nachlesen. Ebenso, dass dieser Zeitraum nicht in Stein gemeiselt ist (hoffe selbst dass man hier flexibler vorgehen kann).

Bei den Servern die z. B. Netcraft erfasst, kommt nginx im Oktober das erste mal über einen Anteil von 15 Prozent. Apache liegt bei 46 Prozent (

You do not have permission to view link please Anmelden or Registrieren

). Lets's Encrypt hat sich zum Ziel gemacht, so viele Seiten wie möglich zu verschlüsseln. Von daher macht es meiner Meinung nach durchaus Sinn, wenn der Schwerpunkt erst einmal bei Apache liegt. Das nginx nicht links liegen gelassen wird, zeigen zudem auch die Commits. Letsencrypt-nginx wurde vor drei Tagen geändert. Letsencrypt-apache vor 7 Tagen (

You do not have permission to view link please Anmelden or Registrieren

).

 

[eraser]

Davon abgesehen finde ich das Zertifikatshandlich bei nginx viel einfacher als z.B. bei apache - ist doch meist nur eine Zeile in der Config?
.

Es ist definitiv einfacher bei Apache, da man auch noch ein Chainfile benötigt. Dann wären es die üblichen 2 Zeilen für eine Grundkonfiguration von nginx (key und cert) und mit ssl on noch eine mehr. Davon aber mal abgesehen ist eine Konfiguration von nginx pro Host mit Sicherheit mit mehr Aufwand verbunden, als beim Standard-Apache prefork.

 

[drfuture]

nu ja mein Problem lag eher darin das ich bisher davon ausgegangen bin das ich mein Zertifikat bei LetsEncrypt "normal" beantrage und einbinde... da das nicht ganz so läuft erklärt das auch das *Problem* mit anderen Webservern
Da es noch nicht voll Lauffähig ist habe ich mir über die Art und Weise wie man es nutzt einfach noch keine genaueren Gedanken gemacht - wäre aber wohl besser gewesen... aber mal abwarten

@Eraser evtl. auch Geschmacksache, ich fand die Apache-Config mit ewig langen Einstellungsorgien und vHost dateien extrem umständlich und unübersichtlich...
Zumindest ich komme bei nginx nun mit sicher 1/10 der Zeilen aus und finde diese viel verständlicher und logischer aufgebaut.

 

[mathmos]

Ab dem 03.12.15 läuft die offene Beta-Phase. Dann kann jeder ohne Anmeldung oder Einladung Zertifikate beantragen.

You do not have permission to view link please Anmelden or Registrieren

Edit: Die Server-Verwaltungssoftware LiveConfig unterstützt ab Version 2.0 auch Let's Encrypt

You do not have permission to view link please Anmelden or Registrieren

 

[Hank Moody]

Ich hab mich nun mal mit ein paar Domains für die Closed Beta angemeldet - bin mal gespannt, wie lange die Freischaltung dauert.

Für meine Kunden, bei denen ich teilweise auch LiveConfig einsetze, ist es auf jeden Fall sehr praktisch.

 

[mathmos]

@Hank Moody:

Mit etwas "Glück" dauert es bis zum 03.12.15.

---

Mein "Webspace"-Anbieter Uberspace will Let's Encrypt auch offiziell unterstützen.

 

[Hank Moody]

@mathmos: wäre auch okay, hab da jetzt keinen Zeitdruck. Scheinbar genehmigen die Jungs im Moment aber ordentlich Domains für die Closed Beta - wohl um die Server mal warmlaufen zu lassen.

 

[eraser]

Hab mich auch mal angemeldet.

 

[virtus]

Hat sich ja nun doch ein paar Monate verschoben.

 

[drfuture]

was wo?

 

[eraser]

Zumindest im Blog oder auf der Seite ist davon ja nix zu lesen.

 

[mathmos]

Eventuell meint er die bisherigen Verschiebungen im Zeitplan. Ursprünglich war ja es ja geplant, dass ab Mitte September Zertifikate vergeben werden.

 

[virtus]

Das, was mathmos sagt. Bezogen auf das ursprüngliche Datum.

 

[Hank Moody]

Ich habe gestern für einen Kunden die Freischaltung erhalten und direkt zwei Zertifikate im LiveConfig eingerichtet - alles bestens bisher!

Auch der "manuelle" Test mit dem Client hat funktioniert.

 

[eraser]

You do not have permission to view link please Anmelden or Registrieren

Ich mag das hauseigene Tool nicht welches verwendet wird zum erstellen des Zertifikats. Damit das läuft, musste ich meine config eben erstmal 2 Stunden lang umstellen. Als nächstes ist natürlich nicht so toll, dass das Zertifikat gerade nur 90 Tage lang hält. Man soll das Tool alle 60 Tage neu aufrufen um das Zertifikat zu erneuern. Alternativ halt per Cronjob, aber dazu muss ich erstmal rausfinden wie ich das Tool ohne Abfragen laufen lassen kann, damit das auch funktioniert. Wenn es dann auch zuverlässig ist/war, werde ich es gerne weiterhin nutzen, wohl dann auch für andere Projekte. Beim alten Zertifikat musste ich einmal im Jahr ran, wenn ich hier dauerhaft nichts mehr machen muss, wäre das natürlich noch besser.

Es macht bisher einen guten Eindruck. Werde meine alten Zertifikate und Serverconfigs trotzdem erstmal sicher aufbewahren.

 

[eraser]

Jetzt kanns jeder ausprobieren:

You do not have permission to view link please Anmelden or Registrieren

 

[mathmos]

Habe mir jetzt auch mal ein Zertifikat für meinen Sachen auf Uberspace erstellen lassen. Einfacher geht es eigentlich nicht mehr.

 

[Hank Moody]

Ja, funktioniert wirklich toll.

Der Renewal-Prozess gefällt mir persönlich aber noch nicht wirklich - ein Daemon wäre schön, der das übernimmt, wenn ein Zertifikat ausläuft. Alternativ muss ich mir solange mal ein kleines Skript schreiben, dass die Expire-Dates ausliest und unter 7 Tagen ein Renewal für diese Domain auslöst...