"Verbindung ist sicher": kostenlose SSL Zertifikate: Let's Encrypt

 

Vor nicht allzu langer Zeit musste fĂŒr ein SSL-Webserver Zertifikate noch etwas bezahlt werden, inzwischen gibt es Anbieter, die Zertifikate gratis und automatisiert zur VerfĂŒgung stellen. Ich war ĂŒberrascht, wie einfach das geht 


"Nicht sicher“

Ohne SSL-Zertifikat erscheint eine Warnung, dass die Seite „Nicht sicher“ ist: 

„Verbindung ist sicher“

Anfangs um das Admin-Portal meiner Webseite etwas sicherer zu gestalten, spĂ€ter um fĂŒr alle Webseiten https zu verwenden, habe ich diese auf SSL umgestellt. FĂŒr die Admin-OberflĂ€che wollte ich ursprĂŒnglich, aus KostengrĂŒnden, ein selbstsigniertes Zertifikat (Self-Signed-Certificate) verwenden. Auch eine eigene Zertifizierungsstelle war eine mögliche Option. Damit der Browser, bei dessen Verwendung keine Zertifikatswarnung ausgibt, hĂ€tte ich das Zertifikat auf allen EndgerĂ€ten einspielen mĂŒssen. Speziell bei Android ist das, wie ich lernen musste, keine leichte Aufgabe. Auf der Suche nach einem öffentlichen Zertifikat bin ich auf „StartSSL Free“ gestoßen, was auch einige Jahre funktioniert hat, der Betrieb von StarSSL wurde aber am 1. JĂ€nner 2018 eingestellt, heute ist Let’s Encrypt fĂŒr kostenlose Zertifikate das Maß aller Dinge.

Let’s Encrypt 

Die vollautomatisierte Zertifizierungsstelle Let’s Encrypt wurde durch zahlreiche namhafte Sponsoren, darunter Mozilla, Cisco, Facebook, HP und einige mehr, ermöglicht. Das Besondere an Let’s Encrypt ist, dass der Webserver mittels installierter API das Zertifikat selbst beantragt, installiert und regelmĂ€ĂŸig erneuert. Der Webseitenbetreiber benötigt dazu keinerlei Hintergrundwissen. Ich beobachte das Projekt bereits seit Anfang 2015. Ende 2015 wollte ich Let’s Encrypt auf meinem Webserver testen. Zu dieser Zeit war noch etwas Handarbeit fĂŒr die Konfiguration notwendig und bei mir hat das Skript auf Anhieb noch nicht funktioniert.

Den nÀchsten Versuch habe ich im Mai 2016 gestartet: Siehe da, jetzt gibt es sogar eine Plesk-Erweiterung.

Update 2020: Alternativ kann Lets Encrypt auch mit Docker und nginx eingesetzt werden, siehe: LetsEncrypt Reverse Proxy in der Praxis.

September 2021 - ISRG Root X1

Ich habe schon mehrfach darĂŒber gelesen und aktuell von Let’s Encrypt auch noch ein E-Mail mit der Information bekommen und diese hier zusammengefasst: 

Let’s Encrypt – Änderung im September 2021Update 2021: Ab September muss Let’s Encrypt sein eigenes Root-Zertifikat ISRG Root X1 verwenden, alte GerĂ€te bekommen dadurch eine Zertifikatswarnung, siehe: letsencrypt.org/docs/dst-root-ca-x3-expiration-september-2021/

UrsprĂŒnglich hat Let’s Encrypt fĂŒr einen schnelleren Start ein bestehendes Root-Zertifikat verwendet, welches in allen GerĂ€ten verfĂŒgbar ist: DST Root CA X3. Das Zertifikat hat als Ablaufdatum den 30.9.2021. Das Datum kann in den Details aller verwendeten Zertifikate begutachtet werden:

Als Auswirkung bekommen alte GerĂ€te, die jahrelang nicht mehr mit Updates versorgt wurden und somit das neue Letsencrypt Root Zertifikat ISRG Root X1 noch nicht bekommen haben, eine Zertifikatswarnung. Betroffen sind laut der Let’s Encrypt-Seite folgende bekannte GerĂ€te:

  • Blackberry < v10.3.3
  • Android < v2.3.6
  • Nintendo 3DS
  • Windows XP prior to SP3
  • cannot handle SHA-2 signed certificates
  • Java 7 < 7u111
  • Java 8 < 8u101
  • Windows Live Mail (2012 mail client, not webmail)
  • cannot handle certificates without a CRL
  • PS3 game console
  • PS4 game console with firmware < 5.00

Im Mai 2021 hat auch diese Seite bereits ein Zertifikat auf Basis der neuen ISRG Root X1 CA erhalten:

Quelle: letsencrypt.org/docs/certificate-compatibility/

Plesk

FĂŒr die Verwendung von Let’s Encrypt mithilfe von Plesk musste ich Plesk auf die neueste Version upgedatet, nach einem Wechsel zu den Erweiterungen konnte ich Let’s Encrypt auswĂ€hlen und installieren:

 

In der installierten Erweiterung werden sÀmtliche, auf dem Webserver installierte, DomÀnen aufgelistet. Beim Klick auf eine DomÀne kann das Zertifikat installiert werden, automatisch und ohne einen Gedanken an die Konfiguration zu verschwenden:

 

Einzig die Schreibrechte in den Ordner „.well-known“ im Root-Ordner der jeweiligen Webseite, machte bei der ein oder anderen DomĂ€ne Probleme. Die Lösung ist denkbar einfach: 

Error: Let’s Encrypt SSL certificate installation failed

Failed letsencrypt execution: filemng: Error occurred druing /bin/mkdir command. filemng: Error occured during /bin/rm command.

Command '['/usr/local/psa/admin/bin/filemng',u'user',mkdir','-p',u'/var/www/vhosts/domain/.well-known/acme-challenge']' returned non-zero exit status 1

Nachdem ich mit dem Dateimanager den Ordner „.well-known“ angelegt und entsprechende Schreibrechte vergeben habe, hat die Installation dann geklappt:

Zertifikat erneuern

Ein Blick in Crontab zeigt einen Task, welcher das Zertifikat monatlich automatisch erneuert. Die GĂŒltigkeit des Zertifikates betrĂ€gt 3 Monate. Also vonseiten des Webmasters nichts mehr zu machen. Anbieterdetails, siehe https://letsencrypt.org/ 

Fazit

HTTPS-Sicherheit muss nichts kosten. Gerade kleinere Unternehmen oder private Webseiten profitieren von den kostenlosen Zertifikaten. Durch die einfache Integration von Let’s Encrypt kann ein kostenloses Zertifikat sogar einfacher, schneller und unkomplizierter installiert werden als ein kostenpflichtiges. Eine universelle und einfache Lösung dazu bietet Docker, siehe auch: LetsEncrypt Reverse Proxy in der Praxis.

 

positive Bewertung({{pro_count}})
Beitrag bewerten:
{{percentage}} % positiv
negative Bewertung({{con_count}})

DANKE fĂŒr deine Bewertung!

Aktualisiert: 07.08.2022 von Bernhard | Translation English |🔔 | Kommentare:1

➚ Docker vs. Plesk, eine Alternative fĂŒr den Betrieb von Websites | ➊ Webhosting | Website Stresstest: Performance / Ladezeit messen verbessern ➚

Top-Artikel in diesem Bereich


Systeme ĂŒberwachen: Monitoring in HomeAssistant mit Glances

FĂŒr das Sammeln von Systemdaten anderer Betriebssysteme bietet HomeAssistant unter anderem eine Glances-Integration.  Glances ist ein Terminalprogramm fĂŒr das Überwachen des Systemstatus wie der CPU, Memory oder des Diskverbrauches. Der zusĂ€tzliche WebServer-Mode erlaubt es den Status auch ohne SSH abzurufen. Informationen zur Integration in Home-Assistant, siehe: Home-Assistant. 


Traefik: Datenverkehr auf einen anderen Server weiterleiten

Als Vorbereitung fĂŒr das Übersiedeln meiner Websites habe ich nach einer Möglichkeit gesucht den kompletten Datenverkehr vom alten Server einfach auf den neuen weiterzuleiten. 


Webserver mit Docker Container umziehen, Theorie und Praxis

Wer einen virtuellen Server oder Cloud-Server mietet, muss diesen fĂŒr ein neues Betriebssystem von Zeit zu Zeit austauschen. SpĂ€testens, wenn fĂŒr das Betriebssystem keine Updates mehr zur VerfĂŒgung gestellt werden, ist ein Serverwechsel unausweichlich. Vor einiger Zeit habe ich alle Websites auf Docker-Container umgestellt, was den Umzug beschleunigen soll. ZunĂ€chst etwas Theorie zu meinen Überlegungen, dann wie mein Serverumzug zuletzt vonstattenging. ZusĂ€tzli...

Fragen / Kommentare


(sortiert nach Bewertung / Datum) [alle Kommentare(neueste zuerst)]

✍anonym
17.07.2016 10:15
User: Tobi 
Danke fĂŒr den Tipp mit dem Ordner  ".well-known"! Das  war bei mir die Lösung! :-D

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu Mehr Details