Meine Website auch verschlüsselt anbieten? Na klar, warum nicht? Das denken sich wohl die meisten Betreiber kleiner Homepages, Blogs oder Online-Shops. Schließlich liefern auch alle großen Internet-Konzerne ihre Seiten bevorzugt auf dem sichereren Weg aus. Leider bleibt es oft bei den guten Vorsätzen, denn die technischen und organisatorischen Hürden auf dem Weg zu einer HTTPS-gesicherten Seite erscheinen vielen unüberwindbar.
Dabei gibt es so viele gute Gründe dafür, jegliche Online-Kommunikation zu verschlüsseln: Der Datenverkehr über das „normale“ HTTP-Protokoll ist — um einen etwas hinkenden Vergleich zu bemühen — ungefähr so gut geschützt wie eine Postkarte. Unverschlüsselte Internet-Kommunikation kann zum Beispiel von allen Nutzern eines öffentlichen WLANs kinderleicht mitgelesen werden. Für technisch nur mäßig bewanderte Familienmitglieder, Arbeitgeber, Admins, Kollegen und nicht zuletzt auch für die Geheimdienste ist HTTP ein offenes Buch. Auch wenn sich in Folge der NSA-Enthüllungen der Anteil verschlüsselter Internet-Kommunikation am Gesamtdatenvolumen Europas ungefähr vervierfacht hat, findet der Großteil der Website-Aufrufe bis heute ungesichert statt.
Das will das Projekt Let's Encrypt — mittlerweile von Schwergewichten wie Mozilla, Facebook, Akamai, Cisco und der Electronic Frontier Foundation unterstützt — nun ein für alle Mal ändern und dafür sorgen, dass verschlüsselte Webseitenaufrufe zum Standard werden. Mein Admin-Herz schlägt seit ein paar Tagen höher, denn Let's Encrypt befindet sich endlich in der öffentlichen Beta-Phase und kann somit sofort ausprobiert werden.
Pro: Kostenlose Zertifikate, einfachere Server-Einrichtung
Für alle, die einen Apache-Server auf einem Debian-basierten Linux-System mit vollem Zugriff auf die Kommandozeile betreiben (und, mal ehrlich: wer tut das nicht?), ist die Installation und Konfiguration über den bereitgestellten Client tatsächlich in wenigen Sekunden abgeschlossen. Aber auch alle anderen können aufatmen: Mithilfe der Plattform GetHTTPSForFree hat es mich weniger als zehn Minuten gekostet, ein Let's-Encrypt-Zertifikat zu beantragen und es in ein gewöhnliches Webhosting-Paket einzubauen. Voraussetzung ist natürlich, dass der Hoster das HTTPS-Protokoll unterstützt.
Der Clou dabei: Die Zertifikate sind kostenlos und alle gängigen Browser vertrauen ihnen schon jetzt. In dieser Kombination ist das einzigartig. Die Kosten für ein vertrauenswürdiges Zertifikat beliefen sich bislang auf mindestens zehn Euro pro Jahr, im Normalfall wurde es deutlich teurer. Auch die Beantragung eines kostenlosen Zertifikats ist an sich nichts Neues — es ist sogar möglich, sich selbst eines auszustellen und zu signieren. Aber das ist eben so, als würde man sich selbst einen Reisepass malen: Dritte haben große Schwierigkeiten damit, einem solchen Zertifikat zu vertrauen. Die entsprechende Browser-Meldung haben wir alle schon mal gesehen. Und, Hand aufs Herz: Fordert uns der Webbrowser auf, ein Zertifikat zu überprüfen und auf eigene Gefahr fortzufahren, klicken wir die Meldung entweder weg oder wir brechen den Besuch aus Unsicherheit gleich ganz ab und besuchen eben eine andere Seite, die für weniger Bauchschmerzen sorgt.
Contra: Verlängerung und Online-Werbung
Alle SSL/TLS-Zertifikate haben, genau wie Personalausweis oder Kreditkarte, ein Ablaufdatum und müssen rechtzeitig verlängert werden — eine unter Admins besonders ungeliebte Aufgabe. Die Let's-Encrypt-Initiative hat mit 90 Tagen zwar einen bemerkenswert kurzen Gültigkeitszeitraum gewählt, stellt aber eine Anleitung zur Verfügung, die es erlaubt, die Zertifikate automatisch verlängern zu lassen. Ein Service, den man sich von allen Zertifizierungsdiensteanbietern wünschen würde! Der Wermutstropfen: Nur die Zertifikate, die vollständig per Kommandozeile angefordert, abgeholt und installiert wurden, lassen sich automatisch verlängern. Wer also einen kleinen Online-Shop auf einem Webhosting-Paket betreibt, muss alle drei Monate selbst Hand anlegen. Es bleibt aber zu hoffen, dass die großen Hosting-Unternehmen auf den neuen Service reagieren und allen Kunden die Beantragung, Erstellung, Installation und Verlängerung von Serverzertifikaten per Ein-Klick-Installation ermöglichen.
Das zweite Problem: Verlagshäuser und News-Seiten, die sich zur Anzeige ihrer Online-Werbung auf Werbenetzwerke verlassen, können HTTPS-Verbindungen nicht ohne Weiteres einführen. Das liegt weniger an Let's Encrypt als an der Tatsache, dass für Online-Werbung oder Analyse-Tools häufig Inhalte von unsicheren Servern nachgeladen werden müssen. Nur Verlage, die sicherstellen können, dass jegliche Werbung und alle Grafiken, die zur Web-Analyse genutzt werden, ebenso verschlüsselt sind, können problemlos auf das HTTPS-Protokoll setzen, ganz ohne das Risiko verwirrender Fehlermeldungen.
Fazit: Ein rundum gelungener Dienst, probiert es aus!
Mein erster Eindruck von Let's Encrypt ist äußerst positiv. Es sollte den großen Hostern in Kürze möglich sein, allen Kunden automatische und selbstverlängernde Ein-Klick-HTTPS-Konfigurationen zum Nulltarif anzubieten. Außerdem muss HTTPS von uns Admins in Zukunft nicht mehr langwierig erklärt und durchgesetzt werden, sondern bekommt nun endlich die Chance, sich auch bei kleineren Webseiten als Standard zu etablieren. Belohnt wird das dann nicht zuletzt auch mit einem besseren Suchmaschinen-Ranking — eine durchweg positive Sache also. Verschlüsselt eure Websites, es gibt keine Ausreden mehr!
In der letzten Folge seiner Kolumne erklärte unser Admin, warum er Updates immer am selben Tag runterlädt, an dem sie ausgeliefert werden — und alle anderen das auch tun sollten.