"Verbindung ist sicher": kostenlose SSL Zertifikate: Let's Encrypt
Vor nicht allzu langer Zeit musste fĂŒr ein SSL-Webserver Zertifikate noch etwas bezahlt werden, inzwischen gibt es Anbieter, die Zertifikate gratis und automatisiert zur VerfĂŒgung stellen. Ich war ĂŒberrascht, wie einfach das geht âŠ
"Nicht sicherâ
Ohne SSL-Zertifikat erscheint eine Warnung, dass die Seite âNicht sicherâ ist:Â
âVerbindung ist sicherâ
Anfangs um das Admin-Portal meiner Webseite etwas sicherer zu gestalten, spĂ€ter um fĂŒr alle Webseiten https zu verwenden, habe ich diese auf SSL umgestellt. FĂŒr die Admin-OberflĂ€che wollte ich ursprĂŒnglich, aus KostengrĂŒnden, ein selbstsigniertes Zertifikat (Self-Signed-Certificate) verwenden. Auch eine eigene Zertifizierungsstelle war eine mögliche Option. Damit der Browser, bei dessen Verwendung keine Zertifikatswarnung ausgibt, hĂ€tte ich das Zertifikat auf allen EndgerĂ€ten einspielen mĂŒssen. Speziell bei Android ist das, wie ich lernen musste, keine leichte Aufgabe. Auf der Suche nach einem öffentlichen Zertifikat bin ich auf âStartSSL Freeâ gestoĂen, was auch einige Jahre funktioniert hat, der Betrieb von StarSSL wurde aber am 1. JĂ€nner 2018 eingestellt, heute ist Letâs Encrypt fĂŒr kostenlose Zertifikate das MaĂ aller Dinge.
Letâs EncryptÂ
Die vollautomatisierte Zertifizierungsstelle Letâs Encrypt wurde durch zahlreiche namhafte Sponsoren, darunter Mozilla, Cisco, Facebook, HP und einige mehr, ermöglicht. Das Besondere an Letâs Encrypt ist, dass der Webserver mittels installierter API das Zertifikat selbst beantragt, installiert und regelmĂ€Ăig erneuert. Der Webseitenbetreiber benötigt dazu keinerlei Hintergrundwissen. Ich beobachte das Projekt bereits seit Anfang 2015. Ende 2015 wollte ich Letâs Encrypt auf meinem Webserver testen. Zu dieser Zeit war noch etwas Handarbeit fĂŒr die Konfiguration notwendig und bei mir hat das Skript auf Anhieb noch nicht funktioniert.
Den nÀchsten Versuch habe ich im Mai 2016 gestartet: Siehe da, jetzt gibt es sogar eine Plesk-Erweiterung.
Update 2020: Alternativ kann Lets Encrypt auch mit Docker und nginx eingesetzt werden, siehe: LetsEncrypt Reverse Proxy in der Praxis.
September 2021 - ISRG Root X1
Ich habe schon mehrfach darĂŒber gelesen und aktuell von Letâs Encrypt auch noch ein E-Mail mit der Information bekommen und diese hier zusammengefasst:Â
Letâs Encrypt â Ănderung im September 2021Update 2021: Ab September muss Letâs Encrypt sein eigenes Root-Zertifikat ISRG Root X1 verwenden, alte GerĂ€te bekommen dadurch eine Zertifikatswarnung, siehe: letsencrypt.org/docs/dst-root-ca-x3-expiration-september-2021/
UrsprĂŒnglich hat Letâs Encrypt fĂŒr einen schnelleren Start ein bestehendes Root-Zertifikat verwendet, welches in allen GerĂ€ten verfĂŒgbar ist: DST Root CA X3. Das Zertifikat hat als Ablaufdatum den 30.9.2021. Das Datum kann in den Details aller verwendeten Zertifikate begutachtet werden:
Als Auswirkung bekommen alte GerĂ€te, die jahrelang nicht mehr mit Updates versorgt wurden und somit das neue Letsencrypt Root Zertifikat ISRG Root X1 noch nicht bekommen haben, eine Zertifikatswarnung. Betroffen sind laut der Letâs Encrypt-Seite folgende bekannte GerĂ€te:
- Blackberry < v10.3.3
- Android < v2.3.6
- Nintendo 3DS
- Windows XP prior to SP3
- cannot handle SHA-2 signed certificates
- Java 7 < 7u111
- Java 8 < 8u101
- Windows Live Mail (2012 mail client, not webmail)
- cannot handle certificates without a CRL
- PS3 game console
- PS4 game console with firmware < 5.00
Im Mai 2021 hat auch diese Seite bereits ein Zertifikat auf Basis der neuen ISRG Root X1 CA erhalten:
Quelle: letsencrypt.org/docs/certificate-compatibility/
Plesk
FĂŒr die Verwendung von Letâs Encrypt mithilfe von Plesk musste ich Plesk auf die neueste Version upgedatet, nach einem Wechsel zu den Erweiterungen konnte ich Letâs Encrypt auswĂ€hlen und installieren:
Â
In der installierten Erweiterung werden sÀmtliche, auf dem Webserver installierte, DomÀnen aufgelistet. Beim Klick auf eine DomÀne kann das Zertifikat installiert werden, automatisch und ohne einen Gedanken an die Konfiguration zu verschwenden:
Â
Einzig die Schreibrechte in den Ordner â.well-knownâ im Root-Ordner der jeweiligen Webseite, machte bei der ein oder anderen DomĂ€ne Probleme. Die Lösung ist denkbar einfach:Â
Error: Letâs Encrypt SSL certificate installation failed
Failed letsencrypt execution: filemng: Error occurred druing /bin/mkdir command. filemng: Error occured during /bin/rm command.
Command '['/usr/local/psa/admin/bin/filemng',u'user',mkdir','-p',u'/var/www/vhosts/domain/.well-known/acme-challenge']' returned non-zero exit status 1
Nachdem ich mit dem Dateimanager den Ordner â.well-knownâ angelegt und entsprechende Schreibrechte vergeben habe, hat die Installation dann geklappt:
Zertifikat erneuern
Ein Blick in Crontab zeigt einen Task, welcher das Zertifikat monatlich automatisch erneuert. Die GĂŒltigkeit des Zertifikates betrĂ€gt 3 Monate. Also vonseiten des Webmasters nichts mehr zu machen. Anbieterdetails, siehe https://letsencrypt.org/Â
Fazit
HTTPS-Sicherheit muss nichts kosten. Gerade kleinere Unternehmen oder private Webseiten profitieren von den kostenlosen Zertifikaten. Durch die einfache Integration von Letâs Encrypt kann ein kostenloses Zertifikat sogar einfacher, schneller und unkomplizierter installiert werden als ein kostenpflichtiges. Eine universelle und einfache Lösung dazu bietet Docker, siehe auch: LetsEncrypt Reverse Proxy in der Praxis.
Â
{{percentage}} % positiv
DANKE fĂŒr deine Bewertung!
Top-Artikel in diesem Bereich
FĂŒr das Sammeln von Systemdaten anderer Betriebssysteme bietet HomeAssistant unter anderem eine Glances-Integration. Glances ist ein Terminalprogramm fĂŒr das Ăberwachen des Systemstatus wie der CPU, Memory oder des Diskverbrauches. Der zusĂ€tzliche WebServer-Mode erlaubt es den Status auch ohne SSH abzurufen. Informationen zur Integration in Home-Assistant, siehe: Home-Assistant.Â
Als Vorbereitung fĂŒr das Ăbersiedeln meiner Websites habe ich nach einer Möglichkeit gesucht den kompletten Datenverkehr vom alten Server einfach auf den neuen weiterzuleiten.Â
Wer einen virtuellen Server oder Cloud-Server mietet, muss diesen fĂŒr ein neues Betriebssystem von Zeit zu Zeit austauschen. SpĂ€testens, wenn fĂŒr das Betriebssystem keine Updates mehr zur VerfĂŒgung gestellt werden, ist ein Serverwechsel unausweichlich. Vor einiger Zeit habe ich alle Websites auf Docker-Container umgestellt, was den Umzug beschleunigen soll. ZunĂ€chst etwas Theorie zu meinen Ăberlegungen, dann wie mein Serverumzug zuletzt vonstattenging. ZusĂ€tzli...
Fragen / Kommentare
(sortiert nach Bewertung / Datum) [alle Kommentare(neueste zuerst)]