Letsencrypt versorgt nun mehr als 115 Millionen Websites mit Zertifikaten, eigenes Root-Zertifikat ISRG Root X1 wird von allen grossen Root-Programmen unterstützt - sd-ACME-Servermanager als Freeware-Tool

06.08.2018 23:55:46, Jürgen Auer, keine Kommentare

Letsencrypt, die kostenlos und automatisiert nutzbare Certificate Authority (CA), bietet seit Ende 2015 kostenlose SSL-Zertifikate an. Damit lassen sich Websites verschlüsselt nutzen, per https.

Heute wurde darüber informiert, daß seit Ende Juli mit Microsoft auch das letzte große Root Programm das Root-Zertifikat von Letsencrypt - ISRG Root X1 - unterstützt.

Die Wirkung: Microsoft wird das ISRG Root X1 mit den nächsten Updates auf alle Windows-Rechner verteilen. So daß der Internet Explorer und Edge sowie andere Programme, die den Windows Zertifikatsspeicher nutzen, Zertifikate direkt als vertrauenswürdig einstufen, wenn diese von einem von ISRG Root X1 signierten Zwischenzertifikat bestätigt wurden.
.

Let's Encrypt Root Trusted By All Major Root Programs

https://letsencrypt.org/2018/08/06/trusted-by-all-major-root-programs.html

.
> Our root is now trusted by all major root programs, including Microsoft, Google, Apple, Mozilla, Oracle, and Blackberry.

Aktuell gibt Letsencrypt Zertifikate aus, die mit dem Let's Encrypt Authority X3 signiert wurden. Das ist einerseits von ISRG Root X1 signiert, andererseits auch von DST Root CA X3, einem sehr alten Root-Zertifikat, das vom 30.09.2000 bis zum 30.09.2021 gültig ist. Das wird von IdenTrust als Certificate Authority verwaltet.

Grade sehe ich bei mir: Mein FireFox zeigt mir auf *.server-daten.de, also auch auf dem hiesigen Blog, bereits ISRG Root X1 als Root-Zertifikat an. Ich meine, das war vor ein paar Wochen noch nicht der Fall. Chrome, IE11 und Edge zeigen aktuell noch DST Root CA X3 als Root-Zertifikat an.

Diese Kreuzvalidierung soll auch noch mindestens die nächsten fünf Jahre beibehalten werden. Denn es gibt diverse ältere Systeme (u.a. Windows XP), die werden zwar immer noch verwendet, aber nicht mehr aktualisiert. Da läßt sich ein neues Root-Zertifikat nicht mehr verteilen.

> Some of those older systems will eventually be updated to trust Let’s Encrypt directly. Some will not, and we’ll need to wait for the vast majority of those to cycle out of the Web ecosystem. We expect this will take at least five more years, so we plan to use a cross signature until then.

Und dann gibt es noch die "kleine Information":

> Let’s Encrypt is currently providing certificates for more than 115 million websites.

Ende 2015 war das als Beta gestartet, nun wird ein deutlicher Teil aller Websites mit Zertifikaten versorgt. Wobei ein wesentlicher Punkt darin besteht, daß nicht nur die Letsencrypt-Zertifikate kostenlos sind. Sondern daß mit dem ACME-Protokoll (Automatic Certificate Management Environment) endlich ein Werkzeug geschaffen wurde, mit dem sich der Prozess der Zertifikatsbeantragung, Bestätigung und Zur-Verfügung-Stellen des Zertifikats automatisieren läßt. Bis dahin war das immer ein "manuelles Herumpfriemeln", was die breitflächige Verwendung von Verschlüsselung gebremst hat.

Wer möchte, der findet unter

https://w3techs.com/technologies/history_overview/ssl_certificate/all

und dortigen weiteren Links Statistiken: Eine wohl gleichbleibende Menge von Websites, die seit Anfang 2016 täglich darauf untersucht wird, ob - und falls ja, welches Zertifikat sie nutzt. Anfang 2016 waren noch 80 % dieser Websites unverschlüsselt oder hatten ein ungültiges Zertifikat. Dieser Anteil hat sich mit nun etwa 41 % fast halbiert. Im gleichen Zeitraum stieg der Anteil an IdenTrust / Letsencrypt-Domains von praktisch 0 % auf aktuell 25,3 % an. Bei den absoluten Anteilen wachsen einige Anbieter. Relativ dagegen

Market share trends for SSL certificate authorities for websites

https://w3techs.com/technologies/history_overview/ssl_certificate

steigt nur IdenTrust / Letsencrypt an (mit Ausnahme des Wechsels der Symantec-Zertifikatssparte zum 01.12.2017).

Die hiesige Dienstleistung Server-Daten, die Website www.sql-und-xml.de sowie Kundendomains, die ihre Datenbank unter der eigenen Domain nutzen, laufen bereits seit Mitte Juni komplett per Letsencrypt-Zertifikaten. Zur Verwaltung wird ein eigener, derzeit noch nicht veröffentlichter Letsencrypt-Client genutzt. Dieser überprüft die Zertifikate im CertificateStore Webhosting, ob diese von Letsencrypt sind. Falls ja und falls die Zertifikate nur noch höchstens 30 Tage alt sind, werden sie automatisch erneuert.

Ein zweiter Client, der das Aktualisieren der Bindungen erledigt, wurde inzwischen als Freeware-Tool veröffentlicht.

https://www.sql-und-xml.de/freeware-tools/#sd-acme-servermanager

Das Programm wird minimal mit dem Namen einer Website (-site) und dem Namen eines Zwischenzertifikats (-issuer) gestartet. Dann werden alle Bindungen dieser Website überprüft, ob das Zertifikat vom Zwischenzertifikat signiert wurde. Falls ja und falls das Zertifikat nur noch -days gültig ist, wird geprüft, ob in "Webhosting" bereits ein neueres Zertifikat desselben Issuers mit demselben CommonName zu finden ist. Wird ein solches Zertifikat gefunden, wird die Bindung aktualisiert.

Das Programm kann zusätzlich Statusmails über einen lokal erreichbaren SMTP-Server versenden. Ferner läßt es sich im Testbetrieb verwenden. Nur wenn -update true explizit angegeben wird, werden die Änderungen per Commit tatsächlich ausgeführt.

Das Prinzip bei beiden Programmen ist: Die Ersteinrichtung (http-Bindung einrichten, Zertifikat erstellen und in Webhosting ablegen, https-Bindung einrichten) wird manuell erledigt. Ab dann läuft das automatisiert. Es gibt aber Informationsmails, so daß man bei Fehlern rechtzeitig eine Nachricht erhält und noch genügend Puffer für einen eventuellen manuellen Eingriff hat.

*
* (wird nicht angezeigt)
Die Erläuterungen zum Datenschutz habe ich gelesen und stimme diesen zu.