Letsencrypt - kostenlose und automatisierte Zertifikate für Websites - Wachstum im vergangenen Jahr und Ausblick

02.01.2019 23:55:03, Jürgen Auer, keine Kommentare
Statistik zum Anstieg der von Letsencrypt ausgelieferten Zertifikate.

Letsencrypt startete Ende 2015 als CA, also als Certificate Authority mit der Möglichkeit, kostenlose und automatisiert beantragbare Zertifikate zu erhalten.

Damals war noch weniger als die Hälfte des Webtraffics verschlüsselt. Ganz zu schweigen von 2008 oder noch früher. Da gab es Zertifikate nur für ausgewählte Websites, weil auf einer IP-Adresse nur ein Zertifikat installiert werden konnte. Damit war Verschlüsselung als Massennutzung undenkbar, da sich bei Massenhostern viele Websites eine IP-Nummer teilten.

2013 führten die Snowden-Enthüllungen zu einem Umdenken. Die Gründung von Letsencrypt war eine Folge davon.

Zum Jahreswechsel gab es einen Blogbeitrag. U.a. mit einer neuen Statistik und einem Ausblick auf 2019.
.

Looking Forward to 2019

https://letsencrypt.org/2018/12/31/looking-forward-to-2019.html

.
Die 50 % - Schwelle des verschlüsselten Traffics ist schon eine Weile geknackt.

> Most importantly though, the Web went from 67% encrypted page loads to 77% in 2018, according to statistics from Mozilla. This is an incredible rate of change!

Im letzten Jahr ging das um weitere 10 % auf nun 77 % hoch. So Daten von Mozilla.

Die oben sichtbare Statistik zeigt das Wachstum bei der Zahl von Letsencrypt-Zertifikaten.

Etwa 46 Millionen Domains (eine Ebene unterhalb der Top Level Domains) sind aktiv. Das ist die unterste Linie. Etwa 87 Millionen aktive Zertifikate gibt es. Diese decken etwa 152 Millionen vollqualifizierte Domainnamen ab.

Ein Zertifikat kann einen oder mehrere Domainnamen enthalten. Wer bsp. ein Zertifikat für seine Website example.com mit zwei Domainnamen example.com und www.example.com erstellt, der taucht in dieser Statistik mit einer Domain, einem aktiven Zertifikat und zwei vollqualifizierten Domainnamen auf. Wer zusätzlich Namen wie mail.example.com und blog.example.com in sein Zertifikat aufnimmt, hat 4 vollqualifizierte Domainnamen.

2018 kamen bei Letsencrypt ab Mitte März Wildcard-Zertifikate hinzu. So eines nutze ich auch seit Mitte Juli auf server-daten.de, so daß auch der hiesige Blog darüber gesichert ist.

Wesentlich dabei ist, daß sich der gesamte Prozess von der Beantragung des Zertifikats und Überprüfung der Domain-Inhaberschaft bis hin zum Download des Zertifikats über das ACME - Protokoll (Automatic Certificate Management Environment) automatisieren läßt. Die Version 1 wurde von Letsencrypt entwickelt. Zur Version 2 wurde ein Standardisierungsverfahren als RFC gestartet.

Die Statistiken gibt es auf der Seite

https://letsencrypt.org/stats/

Letsencrypt-Zertifikate sind 90 Tage gültig. Inzwischen werden im Schnitt knapp eine Million Zertifikate pro Tag ausgeliefert. Das sind etwa elf Zertifikate pro Sekunde.

Für 2019 ist ein wesentliches neues Feature angekündigt: Die Überprüfung der Domaininhaberschaft von verschiedenen Standorten:

> The feature we’re most excited about is multi-perspective validation. Currently, when a subscriber requests a certificate, we validate domain control from a single network perspective. This is standard practice for CAs.

Das ist zwar Standard. Meine käuflich erworbenen Zertifikate hatte ich immer per Klick auf einen Link in einer Mail bestätigt, da ist die http-Domainvalidierung (spezielle Datei in einem Verzeichnis) oder die dns-Domainvalidierung (ein spezieller DNS-Eintrag) deutlich sicherer. Aber:

> If an attacker along the network path for the validation check can interfere with traffic they can potentially cause certificates to be issued that should not be issued.

Es gibt das sogenannte BGP Hijacking. BGP ist die Abkürzung für das sehr elementare "Border Gateway Protocol", das als Routing-Protokoll dafür sorgt, daß Browser zu Servern finden und die Daten wieder zurückgeschickt werden. Das Protokoll kennt keine internen Absicherungen, so daß Traffic umgeleitet werden kann. Das kann beim Erstellen von Zertifikaten dazu führen, daß ein Nichtberechtigter ein Zertifikat beantragt und es ihm gelingt, den Prüftraffic von Letsencrypt auf seinen eigenen Server umzuleiten.

Die Lösung, die Letsencrypt anstrebt:

> The solution we intend to deploy in 2019 is multi-perspective validation, in which we will check from multiple network perspectives (distinct Autonomous Systems). This means that potential BGP hijackers would need to hijack multiple routes at the same time in order to pull off a successful attack, which is significantly more difficult than hijacking a single route.

Eine Überprüfung von verschiedenen Standorten. Eine Route mag ein Angreifer noch kontrollieren und umleiten können. Wenn die Überprüfung über verschiedene Wege läuft, wird das deutlich schwieriger.

Ferner soll es ein eigenes Certificate Transparency Log geben. Das ist ein Append-Only-Log, bei dem Daten nur angehängt werden können. Zertifikatsanbieter sollen jedes ausgestellte Zertifikat in mindestens zwei dieser Logs protokollieren, so daß fehlerhafte Zertifikatsausstellungen zumindest rückblickend gefunden werden können. Allerdings gibt es nur relativ wenige CT-Protokolle. Die Anforderungen dafür sind gewaltig.

Schließlich sollen die schon für 2018 angekündigten ECDSA-Rootzertifikate kommen. Ich bin mit den hiesigen Zertifikaten im Oktober auf ECDSA (statt RSA) umgestiegen. Die Zertifikate sind - bei gleicher Sicherheit - deutlich kleiner.

*
* (wird nicht angezeigt)
Die Erläuterungen zum Datenschutz habe ich gelesen und stimme diesen zu.