Let’s Encrypt

HTTPS ist für Website-Betreiber ein Muss: Zum einen profitieren Nutzer von den besseren Verschlüsselung ihrer Daten, zum anderen hat Google vor einiger Zeit den Such-Algorithmus so angepasst, dass Seiten mit HTTPS-Verschlüsselung in den Ergebnissen bevorzugt und nicht verschlüsselte Websites sogar abgestraft werden. Beides Themen, die dafür sprechen sich das wichtige Zertifikat zu holen.

Bis vor gut zwei Jahren war das aber noch recht aufwändig und kostspielig. Etablierte Certification Authorities wie Comodo oder DigiCert verlangten für die SSL/TLS-Zertifikate nämlich Gebühren. Dann startete Let’s Encrypt am Markt und plötzlich war es nicht nur kostenlos sich die wichtigen Zertifikate zu besorgen, sondern auch unkompliziert. Innerhalb von 24 Monaten drehte sich der Markt: Die Zahl der verschlüsselten Seiten nahm rasant zu – von 40 Prozent auf 73 Prozent - und rund 40 Prozent davon verfügten über ein Zertifikat von Let’s Encrypt während zum Beispiel Comodo als zweitgrößter Anbieter nur 20 Prozent stellt.

Auf den ersten Blick klingt Let’s Encrypt fast zu gut um wahr zu sein. Wer verbirgt sich hinter dem Anbieter, der das schaffte, wo kommerzielle Anbieter scheiterten? Nach eigener Aussage ist Let’s Encrypt nämlich besonders erfolgreich darin, Domains Zertifikaten zuzuweisen, die bisher nicht über eine TLS/SSL-Verschlüsselung verfügten – darunter auch die Seite der amerikanischen Raumfahrtbehörde NASA.

Hinter Let’s Encrypt stecken ursprünglich zwei Projekte: Eines davon betrieb die Universität von Michigan gemeinsam mit der Electronic Frontier Foundation, das andere war ein unabhängiges Projekt von Mozilla. Im Jahr 2014 fusionierten die beiden Projekte und gründeten die Internet Security Research Group (ISRG). Heute gehören dazu rund 40 Unternehmen wie Mozilla, Cisco, Akamai, Google Chrome, die Ford Foundation aber auch Facebook und Shopify, die als Sponsoren einen Teil des Budgets zur Verfügung stellen, das die Initiative Let’s Encrypt benötigt – pro Jahr circa 3 Millionen Euro, die vor allem in die Hardware zur Erstellung der Zertifikate fließt. Der andere Teil des Budgets setzt sich aus freiwilligen Spenden von Privatpersonen zusammen.

Die Mission von Let’s Encrypt lässt sich einfach zusammenfassen: Menschen unkompliziert und kostenlos HTTPS-Zertifikate zur Verfügung stellen und so ein sichereres Web fördern, in dem private Daten geschützt werden.

Zu diesem Zweck schreibt sich Let’s Encrypt 6 Prinzipien auf die Fahne:

Bei allem Respekt für das Projekt, aber wo liegen nun die Vorteile von Let’s Encrypt? Um diese Frage zu beantworten, muss das Feld von hinten aufgerollt werden. Tatsächlich sind nämlich gerade viele kleine, aber auch einige überraschend große Seiten nicht mit sicherer Verschlüsselungs-Technologie versehen. Das wird in dem Moment ein Problem, in dem Nutzerdaten – und das fängt bereits der bei Übermittlung einer IP-Adresse und eines Standorts an – übermittelt werden. Kommen dann auch noch persönliche Daten oder Bankverbindungen hinzu, zum Beispiel um einen Bestellvorgang abzuwickeln, sind diese für jeden halbwegs talentierten Hacker frei zugänglich. Dem schiebt eine Verschlüsselung mit TSL/SSL einen Riegel vor.

Bis zum Start von Let’s Encrypt war es gerade für kleine Website-Betreiber aber schwierig und kostspielig, sich das HTTPS-Zertifikat zu besorgen. Nun können sie ihren Besuchern und Kunden kostenlos und unkompliziert den Verschlüsselungs-Standard der großen Seiten bieten.

Kritiker merken an, dass über Let’s Encrypt nicht nur vertrauenswürdige Seiten Zertifikate erhalten, sondern auch Phisher. Allerdings war das auch bei den kostenpflichtigen Anbietern nicht anders. Nur auf das kleine Schloss neben der Domain zu achten, reicht für Internet-Nutzer also immer noch nicht aus, etwas gesundes Misstrauen muss auch dabei sein.

Let’s Encrypt trägt maßgeblich dazu bei, den TLS/SSL-Verschlüsselung zum Standard im Netz zu machen und so die Privatsphäre der Internet-Nutzer zu schützen. Besonders ihr Erfolg bei Website-Betreibern, die sich nun zum ersten Mal ein solches Zertifikat leisten können, gibt der Initiative Recht in ihren Bemühungen.

Künftig wird Let’s Encrypt seine Angebote ausweiten und beispielsweise Wildcard-Zertifikate anbieten, mit denen Website-Betreiber gleichzeitig eine Domain und alle dazugehörenden Subdomains absichern können. Einzig die Einführung von Extended-Validation-Zertifikate ist bisher noch nicht absehbar.