02 Feb

Let’s Encrypt – Kostenfreie SSL/TLS-Zertifikate

Ich glaube fest daran, dass wir uns zukünftig alle im Onlinebereich noch mehr mit sicherheitsrelevanten Themen auseinandersetzen müssen. Dazu gehören auch grundlegende Dinge wie SSL, welches natürlich bei Weitem nicht nur aus SEO- oder Marketingsicht relevant ist.

SSL (Secure Sockets Layer), mittlerweile eigentlich korrekterweise als TLS (Transport Layer Security) zu bezeichnen, ist ein Verschlüsselungsprotokoll zur sicheren Datenübertragung im Internet. So wird die TLS Verschlüsselung heutzutage vorrangig bei HTTPS eingesetzt, um die Daten zwischen Nutzer und Server weitestgehend sicher und verschlüsselt zu übertragen.

Aus Marketingsicht sollte dies für uns in erster Linie eine hohe Relevanz besitzen, da Sicherheit Vertrauen schafft. Dieses Vertrauen ist insbesondere immer dann sehr wichtig, wenn wir zum Beispiel Daten von Webseitenbesuchern empfangen oder Geldtransaktionen online tätigen. Deshalb sollten alle Betreiber eines Onlineshops unbedingt auf Transparenz und Sicherheit, in Bezug auf die Domain, achten. Hierbei stellt ein SSL-Zertifikat ein sehr wichtiges Kernelement dar.

Lets Encrypt SSL Zertifikate

Ein weiterer Faktor wird in Zukunft auch Google sein, denn Google ruft schon lange dazu auf, dass die Webseiten Betreiber auf HTTPS setzen sollen. So wurde in der Vergangenheit von Google auch immer wieder kommuniziert, dass Webseiten mit HTTPS „einen leichten Ranking Boost“ erhalten könnten. Dies scheint nun langsam auch in der Praxis konkreter zu werden. Bei den Chromium Entwicklern (Google Chrome Browser) werden bereits Pläne entwickelt, dass Webseiten – die zukünftig noch auf unverschlüsselte (HTTP) Datenübertragung setzten – als unsicher gekennzeichnet werden. Dies wurde nun auch von Parisa Tabriz, Teamleiterin des Google-Security-Engineering-Teams, auf Twitter angekündigt.

Mit diesem Schritt steigt die Wahrscheinlichkeit, dass HTTPS von Google nicht mehr nur als kleines positives Rankingsignal angesehen wird, sondern eine höhere Gewichtung bekommt. Es könnte sogar in die Richtung kippen, dass HTTP-Seiten ohne SSL-Zertifikat, bald abgewertet werden könnten. Somit wird HTTPS, also SSL, auch immer spannender für jeden SEO.

Nun weiß wohl jeder, der sich in der Vergangenheit mit SSL-Zertifikaten auseinandergesetzt hat, dass diese zum einen meistens recht teuer sind und zum anderen, die Einrichtung eines SSL-Zertifikates für die eigene Webseite recht komplex und mit einem gewissen technischen Aufwand verbunden ist. Das alles sind Gründe, die viele Seitenbetreiber davon abgehalten hat HTTPS und damit eine sichere Datenübertragung, einzusetzen.

Diese Hürden wurden nun wesentlich herabgesetzt, denn seit Dezember 2015 bietet die Internet Security Research Group (ISRG) mit Let’s Encrypt eine neue Certificate-Authority (CA) an. Let’s Encrypt will vor allem die Umstellung von HTTP auf HTTPS stark vereinfachen und so die Absicherung durch HTTPS vorantreiben. Die Zertifikate sind kostenfrei und können auch problemlos von Menschen mit Geringem, bis nicht vorhandenem technischen Verständnis, angefordert werden. Damit fallen die größten Hindernisse für die Umstellung weg. Es gibt dazu auch einen Let’s Encrypt Client, mit dem sich SSL-/TLS-Zertifikate für die Verschlüsselung von Webseiten ohne großen technischen Aufwand einrichten lassen. Die Zertifikate von Let’s Encrypt werden ab sofort für jeweils 90 Tage ausgestellt und können automatisch erneuert werden.

kostenlose ssl zertifikate

Die ersten Webhoster, wie z.B. WebhostOne, KeyCDN, Uberspace und Cyon bieten ihren Webspacekunden bereits die kostenlosen SSL-Zertifikate von Let’s Encrypt an. Ansonsten kann sich jeder, der eigene Server (V-, Root- oder Cloud-Sever) betreibt, ohne viel Aufwand und mithilfe des Let’s Encrypt Client, die SSL-/TLS-Zertifikate selbst installieren. Der Umstellung steht somit nichts mehr im Wege und im Hinblick auf die Zukunft, ist man aktuell sogar noch einigen Webseitenbetreibern einen Schritt voraus.

 

Let's Encrypt Linux Server Client installation

Anleitung Lets Encrypt Debian Linux Apache

Hier nun ein kleines Beispiel, wie einfach man ein SSL-/TLS-Zertifikat mit Let’s Encrypt einrichten kann. Im Beispiel gehe ich einfach mal von einem Debian Linux Server der Apache als Webserver aus, auf anderen Systemen ist der Installationsprozess aber zumeist sehr ähnlich.

Schritt 1

  • Damit alle relevanten Aktualisierungen installiert sind, empfiehlt es sich, das Debian Linux System komplett upzudaten.
# sudo apt-get update && apt-get dist-upgrade

Schritt 2

  • Nun müssen wir – falls zuvor noch nie gemacht, den Git Client installieren, mit dem wir einfach und unkompliziert Projekte (Repositorys) von GitHub auf unseren Server installieren können.
# sudo apt-get install git

Schritt 3

  • Jetzt sind wir so weit, dass wir den Let’s Encrypt Client aus dem offiziellen Let’s Encrypt GitHub Repository downloaden können. In dieser kleinen Anleitung erstellen wir dabei automatisch im /opt Verzeichnis, das bei UNIX-Systemen zum Beispiel LINUX standardmäßig für Third-Party-Software gedacht ist, ein Verzeichnis mit der Kopie des offiziellen Let’s Encrypt Repositorys. Dieses Verzeichnis finden wir dann unter /opt/letsencrypt.
# sudo git clone https://github.com/letsencrypt/letsencrypt /opt/letsencrypt

Schritt 4

  • Jetzt können wir ein SSL-Zertifikat für eine Domain, die von unserem Apache Webserver gehostet wird, mithilfe des Let’s Encrypt Client einrichten. Der Let’s Encrypt Client wird dabei automatisch das SSL-Zertifikat anfordern, entgegennehmen und einrichten.
  • Dazu wechseln wir in das Verzeichnis /opt/letsencrypt auf unserem Server, mit dem folgenden Befehl:
# cd /opt/letsencrypt
  • Um die automatische Installation auszuführen und das SSL-/TSL-Zertifikat kostenlos für eine einzelne Domain zu erhalten, nutzen wir den sogeannten „letsencrypt-auto command“.
# ./letsencrypt-auto --apache -d example.com
  • Wenn wir nun aber auch noch Subdomains für diese Domain haben und nicht für jede Subdomain ein extra Zertifikat ausstellen wollen, können wir die Subdomains auch einfach beim Erzeugen des Zertifikates mit beachten. Die erste Domain in dem String des Befehls zur Erzeugung des SSL-Zertifikats ist dann auch immer die Hauptdomain.
# ./letsencrypt-auto --apache -d example.com -d www.example.com
  • Der Let’s Encrypt Client zur Installation der SSL-/TLS-Zertifikate, richtet nun automatisch alles ein. Innerhalb des Prozesses werden wir noch nach einigen kleinen Optionen gefragt. So werden wir zum Beispiel gefragt, ob wir eine E-Mail-Adresse zur Wiederherstellung angeben möchten, falls wir mal ein Zertifikat unabsichtlich gelöscht haben sollten etc. Des Weiteren können wir uns auch noch entscheiden, ob unsere Webseite nun sowohl unter http://, als auch unter https:// erreichbar sein soll, oder in Zukunft nur noch unter https://.
  • Das war es dann auch schon. Nun haben wir erfolgreich ein Zertifikat für die Domain example.com erstellt. Die Zertifikat Dateien findet wir unter /etc/letsencrypt/live. Für jedes Zertifikat wird ein neuer Ordner abgelegt. Die Webseite ist nun unter https mit einer modernen SSL-/TLS-Verschlüsselung zu erreichen.

Schritt 5

  • Da die Let’s Encrypt SSL-Zertifikate eine Laufzeit von nur 90 Tagen haben, empfiehlt es sich das erneuern der Zertifikate zu automatisieren. Dazu nutzen wir den einfachen Weg über den „renew-by-default command“ und einen Cronjob, den wir auf 85 Tage einstellen, sodass immer erneuert wird bevor die 90 Tage abgelaufen sind.
  • Wir öffnen dazu den Crontab, also die Verwaltung unserer Cronjobs.
# sudo vi /etc/crontab
  • Hier fügen wir den Renew Befehl für die Domain ein und setzen diesen auf einen Erneuerungsintervall von 85 Tagen.
0 0 */85 * * /opt/letsencrypt/letsencrypt-auto --text --apache --renew-by-default -d example.com -d www.example.com
  • Dies speichern wir und laden den Cron-Daemon neu, damit er die Aktualisierungen übernimmt.
# sudo service cron reload

Das war es dann auch schon, unsere Domain läuft auf https:// mit einem SSL-Zertifikat von Let’s Encrypt, welches alle 85 Tage automatisch erneuert wird.

 

Let's Encrypt - What launching a free CA looks like

Für alle, die noch ein bisschen mehr über Let’s Encrypt wissen möchten, habe ich hier mal noch einen sehr spannenden Mitschnitt des Vortrages von Roland Bracewell Shoemaker auf dem 32c3 vom 28.12.2015, unter dem Titel „Let’s Encrypt – What launching a free CA looks like“.

Mein kleines Fazit

Wie eingangs schon gesagt, denke ich, dass das Thema SSL/TLS für alle Webseiten relevant – wenn nicht sogar unverzichtbar – werden wird. Durch Let’s Encrypt wird es nun aber für jeden Webseitenbetreiber umsetzbar, ein Mindestmaß an verschlüsselter Datenübertragung für seine Besucher zu ermöglichen. Klar sollte auch jedem sein, dass die Let’s Encrypt Zertifikate ein einfacher Einstieg sind, aber nicht ausreichend für hochsensible Webseiten, die zum Beispiel Kontodaten oder Ähnliches abfragen.

Abschließend noch ein kleiner Vermerk aus SEO-Sicht: Es wird immer wieder gefragt, ob man bei der Umstellung auf https:// lieber auf ein 301 Redirect von der http:// auf die https:// Seite setzen sollte, oder doch einfach per Canonical Tag auf die https:// Variante verweisen solle. Da es sich beim Canonical Tag nur um einen Ausgabefilter handelt, ist eine 301-Weiterleitung eigentlich immer von Vorteil. Beim 301 Redirect wird zum einen der Juice besser übertragen und zum anderen, wird wesentlich weniger Crawlbudget benötigt als bei der Canonical-Variante. Aber denkt daran: Mehr Sicherheit durch https:// macht man in erster Linie für die Nutzer und nicht für bessere Rankings innerhalb der Suchmaschinen.

10 Gedanken zu „Let’s Encrypt – Kostenfreie SSL/TLS-Zertifikate

  1. Hallo! Ich hoffe, die „Werbung“ ist gestattet ;-)
    Auch bei uns gibt es seit der ersten Stunde (03.12.15) die kostenlosen Zertifikate von Let’s Encrypt, mit vollautomatischer verlängerung. Allein im Dezember 2015 wurden bei uns über 1000 solcher Zertifikate beantragt und ausgestellt. Eins vermissen allerdings alle und ich selbst noch: es gibt leider keine Wildcard-Zertifikate. Aber vielleicht wird es diese auch noch geben, mal sehen was die Zukunft bringen wird. Das gesamte Projekt ist jedenfalls meiner Meinung nach Erfolgreich angelaufen.

    • Hallo Sven,

      ja klar gerne doch, sehr cool das ihr da auch so schnell und aktiv euren Kunden diesen Tollen Service bietet! Weiter so! :-)

      Zum Thema Wildcard-Zertifikate kann ich nur sagen dass uns auf der 32c3 gesagt wurde dass dies nicht geplant ist, ebenso wenig wie Extended-Validation-Zertifikate. Dennoch bin ich begeistert von dem ganzen Let’s Encrypt Projekt und deren SSL-Zertifikaten.

  2. Müssen bei dieser Cronjob-Lösung aber nicht noch zusätzlich die TOS erneut bestätigt werden und eine E-Mail Adresse hinterlegt werden (für Benachrichtigungen zum Ablauf des Zertifikates)?

    • Hey Micha,

      danke für das feedback, ich habe es grad noch mal auf dem Testsystem ausprobiert, klappt ohne TOS und Mail Angabe mit dem Cronjob.

      Ich möchte aber noch mal betonen dass dies nicht die beste, schönste oder effektivste Variante ist, ich wollte es nur so einfach wie möglich gestalten um auch Leuten die es sonst meiden würden zu Zeigen dass es ganz einfach sein kann, so dass diese nicht abgeschreckt werden. Man kann es aber auf jeden fall besser und komplexer machen, da hast du vollkommen recht.

  3. !Let’s Encrypt will vor allem die Umstellung von HTTP auf HTTPS stark vereinfachen und so die Absicherung durch HTTPS vorantreiben. Die Zertifikate sind kostenfrei und können auch problemlos von Menschen mit Geringem, bis nicht vorhandenem technischen Verständnis, angefordert werden.“

    Leider wird bei der Sache der gemeine User nicht mit einbezogen, denn als praktikabel kann man die Beantragung von Zertifikaten im allgemeinen nicht bezeichnen.
    Die technischen Hürden gleichen noch immer einem IT-Studium und somit wird der kleine Blogbetreiber seine Seite nicht auf SSL umstellen. Zumal das Zertifikat immer aufwendig erneuert werden muss und das Prozedere alle 3 Monate von vorne anfängt.
    Da erwarte ich für die Zukunft noch erhebliche Verbesserungen im Handling mit SSL-Zertifikaten vor allem für weniger versierte User wie mich.

    • Das installieren der Let’s Encrypt SSL-Zertifikate ist wirklich sehr einfach, ich kann nur dazu raten, sich einfach mal eine JiffyBox oder ähnliches zu schnappen, und dort einfach mal Testweise die installation durchzuspielen, es ist wirklich kein hexenwerk und schnell und einfach verständlich wenn man es einmal gemacht hat.

      Zu der 3 Monatigen Lebenszeit der Zertifikate und dem häufigen erneuern kann ich nur sagen dass dies im kern Zwei gründe hat. Zum einen werden kompromittierte, unsichere oder entwendete Zertifikate nach spätestens 90 Tagen ungültig, zum andern wird so die Automatisierung gefördert wodurch eine Verbreitung stark voran getrieben wird so das die Wahrscheinlichkeit steigt dass viele Webseiten auf Dauer Sicherer werden.

      Wobei ich dir auch empfehlen kann, dem Let’s Encrypt Team (letsencrypt.org) Feedback zu geben mit Bedenken und Kritik. Sie sind sehr empfänglich für sachliches Feedback.

  4. Interessante Artikel, der doch nun eigentlich allen Webmastern die Angst vor der Umstellung auf HTTPS nehmen sollte. Vielen Dank für die Anleitung der Installation der Zertifikate.

  5. Hi Simon, jetzt wo ich alles auf https umgestellt habe lese ich Deinen coolen Artikel und denke beim Lesen und wo kommt der SEO Teil? Im letzten Absatz. :D Hatte vorher die canonical Logik und bin nun geswicht auf die 301 Variante. Mal schauen ob und wie sich das bemerkbar macht. .. und der letzte Satz .. herrlich :) LG Markus

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.