Let’s Encrypt? OK!

VonChristian Rehkopf

Let’s Encrypt? OK!

„Verschlüsselte Websites für alle“, so lautet das Motto von „Let’s Encrypt“. Allerdings ist ein Zertifikat noch lange keine verschlüsselte Website.

Hinter Let’s Encrypt stehen bekannte IT-Firmen wie Mozilla, Akamai, Cisco sowie die EFF (Electronic Frontier Foundation). Sie haben sich zur „Internet Security Research Group“ (ISRG) zusammengefunden. Das Ziel des Projekts ist, verschlüsselte HTTPS-Verbindungen zum Standard im Web zu machen und so für mehr Datenschutz und Sicherheit zu sorgen – was nur bedingt einen Zusammenhang darstellt. Let’s Encrypt liefert dazu kostenlose Zertifikate, die von den gängigen Browsern als vertrauenswürdig angesehen werden.

SSL-Testergebnis vom Heimserver

SSL-Testergebnis vom Heimserver

Dazu gibt es ein Softwarepaket für verschiedene Server, um die entsprechenden Zertifikate passend zu den Domains zu installieren und die Einstellungen entsprechend anzupassen.

Auf meinem Spiel- und Bastelserver zu Hause hat das auch ganz prima geklappt, das Zertifikat ist 3 Monate gültig, und macht auch sonst einen guten Eindruck, wenn man die Servereinstellungen anpasst.

Und Sie, bzw. Ihre Website?

Das ist ja mal ganz nett, wenn man einen Server mit root-Zugriff und den notwendigen Skills hat, um alles korrekt einzurichten – auch wenn einem ein Programm einiges abnimmt. Will man das aber im professionellen Umfeld einsetzen, gibt es erhebliche Herausforderungen:

  1. Die Zertifikate müssen alle 3 Monate erneuert werden
  2. Der Webserver bedarf entsprechender Anpassungen um https mit diesem Zertifikat zu beantworten
  3. http-Anfragen müssen auf https umgelenkt werden
  4. die Website muss anschließend überprüft werden

Wobei Punkt 1&2 praktisch 4 mal Jährlich zu Buche schlagen, die Punkte 3&4 hat man auch bei der Alternative: längerfristige Zertifikate zum Kaufen.

Noch dramatischer ist es, wenn ein Wildcart-Zertifikat benötigt wird, z.B. für

 *.crnet.de

für alle Subdomains von crnet.de gültig. Derartige Zertifikate bietet Let’s Encrypt nicht an. Hier bleibt nur der Griff zu „klassischen“ bezahl-Zertifikaten.

Unsere Lösung:

SSL-TestergebnisWir haben ein System entwickelt, mit dem man http-Websites mit Let’s Encrypt Zertifikaten auf https umbauen kann. Technisch gesehen ist es ein Proxy Server, der pro Domain konfigurierbar ist, und die Seiten von verschiedenen Quellservern abholt und per https verschlüsselt ausliefert. Die Quellen können http oder https sein, letzteres auch mit self-signed Zertifikaten, die sonst Fehler auslösen würden.

Die Let’s Encrypt Zertifikate werden bei Aktivierung oder „on-the-Fly“ generiert und aktiviert (hier ist die große Magie in unserer Software).

Damit haben wir quasi eine Klick-and-play Lösung, um Seiten per https auszuliefern, die nicht einmal „wissen“ müssen, das sie verschlüsselt ausgeliefert werden.

Diese Seite hier ist dafür das beste Beispiel.

ssl ProxySo geht’s:

  1. Proxy Umleitung einrichten (unverschlüsselt), Modus wahlweise „Umleitung“, „Proxy“ oder „Websocket“
    ggfs. testen (bei CMS empfohlen)
  2. DNS-Eintrag der Website auf den Proxy umschalten (ggfs. TTL-Zeit abwarten)
  3. Im Proxy auf SSL ON schalten

Fertig.

Feinschliff (obige Punkte 3 & 4):

Ab da kann die Website auch mit https aufgerufen werden. Jetzt kommen die Feinarbeiten an der Website, wenn absolute Links verwendet werden, selbige müssen auf https umgeschrieben werden. Bei CMSs kann man das mittels Datenbankquery erledigen, statische Seiten sollten relative Links haben, und somit ohnehin direkt problemlos laufen. Bei TYPO3 z.B. muss nur der Base-href auf https gesetzt werden.

Wenn es dann auf der https-Variante der Website keine Fehler gibt, kann auf die erzwungene Verschlüsselung oder auch HSTS geschaltet werden.

Technisch gesehen funktioniert das Produkt, bis zum neuen Jahr werden wir auch einige logistische Details geklärt haben, aber schon jetzt steht dieser Service ab sofort zur Verfügung.

Wenn Sie Ihre Website per https ausliefern wollen, kontaktieren Sie uns.


Weiterführende Informationen:

Google / SEO : HTTPS as a ranking signal

Allgemein (GOLEM): Netzverschluesselung – Mythen über https

SSL Testen: SSL Labs


Let's Encrypt? OK!

Let’s Encrypt? OK!


Über den Autor

Christian Rehkopf administrator