Zum Inhalt springen

Let's Encrypt: Unterschied zwischen den Versionen

Aus Foxwiki
Versionsgeschichte interaktiv durchsuchen
← Zum vorherigen Versionsunterschied
VisuellWikitext
Keine Bearbeitungszusammenfassung
DanielZorin (Diskussion | Beiträge)
Bürokraten, Page Ownership admin
622 Bearbeitungen
Keine Bearbeitungszusammenfassung
 
(Eine dazwischenliegende Version von einem anderen Benutzer wird nicht angezeigt)
Zeile 1: Zeile 1:
'''Let's Encrypt''' - [[Zertifizierungsstelle]] für [[X.509]-[[Transport Layer Security|TLS]]-[[Digitales Zertifikat|Zertifikate]]  
'''Let's Encrypt''' ist eine kostenlose, automatisierte und offene [[Zertifizierungsstelle]] für [[X.509]]-basierte [[Transport Layer Security|TLS]]-[[Digitales Zertifikat|Zertifikate]]. Der Dienst wird von der gemeinnützigen Internet Security Research Group (ISRG) betrieben
 
== Eigenschaften ==
; Zertifikatsarten
* Ausstellung von Domain-Validation-(DV)-Zertifikaten für DNS-Namen (Einzelnamen, Subject-Alternative-Name-Zertifikate und Wildcard-Zertifikate)
* OV- und EV-Zertifikate werden bewusst nicht angeboten, da deren Antragsprozesse nicht vollständig automatisierbar sind


== Beschreibung ==
; Gültigkeit
; Gültigkeit
Zertifikate haben eine Gültigkeit von jeweils 90 Tagen
* Standardgültigkeit der Zertifikate beträgt 90 Tage
* können manuell oder automatisch erneuert werden
* Für den produktiven Betrieb ist eine automatisierte Erneuerung vorgesehen (z. B. über ACME-Clients. Details in [[Let's Encrypt/Anwendungen]])
* Dabei ersetzt ein automatisierter Prozess die bisher gängigen komplexen händischen Vorgänge bei der Erstellung, Validierung, Signierung, Einrichtung und Erneuerung von Zertifikaten für verschlüsselte Websites


=== Überblick ===
; Kosten
Ziel des Projekts ist es, verschlüsselte Verbindungen im [[World Wide Web]] zum Normalfall zu machen
* Ausstellung und Nutzung der Zertifikate sind kostenfrei.
* Indem unter anderem Zahlung, [[Webserver]]konfiguration, Validierungs-E-Mails und die Sorge um abgelaufene Zertifikate überflüssig werden, sollen Aufwand für Einrichtung und Pflege von TLS-Kryptografie deutlich gesenkt werden
* Es wird weitgehend auf [[freie Software]] und offene Standards gesetzt


Bei aktuellen Bestrebungen von großen [[Webbrowser]]-Projekten, unverschlüsseltes [[Hypertext Transfer Protocol|HTTP]] als überholt zu erklären und zukünftig davor zu warnen oder die Unterstützung einzuschränken, wird unter anderem auf die Verfügbarkeit von Let’s Encrypt gesetzt
; Transparenz
* Ausgestellte Zertifikate werden in öffentlichen Logsystemen (z. B. Certificate Transparency) protokolliert
* Die Betreibenden veröffentlichen regelmäßig Transparenz- und Sicherheitsberichte


Um sowohl die eigene Vertrauenswürdigkeit zu erhöhen, als auch gegen Angriffe und Manipulationsversuche zu schützen, soll auf größtmögliche Transparenz gesetzt werden
== Organisation ==
* Dazu werden etwa regelmäßig Transparenzberichte veröffentlicht, alle Ausstellungstransaktionen öffentlich protokolliert (u. a. mit [[Certificate Transparency]]) und möglichst viel auf [[Offener Standard|offene Standards]] und [[freie Software]] gesetzt
Let’s Encrypt ist ein von der Internet Security Research Group angebotener Dienst
* Finanzierung erfolgt überwiegend durch Sponsoring großer Unternehmen aus Browser-, CDN- und Infrastrukturbereich sowie durch Spenden
* Zu den wichtigen Unterstützenden gehören unter anderem die Electronic Frontier Foundation (EFF), die [[Mozilla|Mozilla Foundation]], Akamai, Google Chrome und [[Cisco Systems]]


Das Projekt erhielt den [[FSF Award]] 2019
== Vertrauensmodell und Zertifikatskette ==
Let’s Encrypt betreibt eigene Root-Zertifikate (z. B. ''ISRG Root X1'') und stellt davon abgeleitete Zwischenzertifikate bereit.
* Zur Sicherstellung der Kompatibilität mit älteren Clients wurden zeitweise zusätzlich von IdenTrust signierte Zwischenzertifikate eingesetzt
* Die aktuell verwendeten Root- und Intermediate-Zertifikate sowie Details zur Schlüsselinfrastruktur sind in [[Let's Encrypt/Technik]] beschrieben


Es werden TLS-Zertifikate mit [[Domain Validation Certificate|Domain Validation]] (DV) ausgestellt
== Technik ==
* Bewusst nicht angeboten werden TLS-Zertifikate mit einer Prüfung auf [[Organization Validation Certificate|Organization Validation]] (OV) und [[Extended Validation Certificate|Extended Validation]] (EV), da deren Antragsprozess per Definition nicht vollautomatisiert möglich ist und der Zweck von Let’s Encrypt ist, eine niederschwellige unmittelbare Ausstellung von TLS-Zertifikaten zu ermöglichen
Let’s Encrypt verwendet das ACME-Protokoll (Automatic Certificate Management Environment) zur automatisierten Ausstellung und Erneuerung von Zertifikaten.
* ACME-Clients führen die Authentifizierung der Domain und die Installation der Zertifikate auf dem Zielsystem aus
* Unterstützte Validierungsmethoden (z. B. ''HTTP-01'', ''DNS-01'', ''TLS-ALPN-01'') sowie konkrete Anwendungsbeispiele werden in [[Let's Encrypt/Anwendungen]] beschrieben
* Weitere technische Details zur Implementierung, zur CA-Software und zur Infrastruktur sind in [[Let's Encrypt/Technik]] zusammengefasst


=== Beteiligte ===
== Bedeutung ==
Let’s Encrypt ist ein von der gemeinnützigen [[Internet Security Research Group]] (ISRG) angebotener Dienst
Let’s Encrypt hat die Verbreitung von HTTPS im [[World Wide Web]] wesentlich beschleunigt und die Hürden für den Einsatz von Transportverschlüsselung deutlich gesenkt
* Hauptsponsoren sind unter anderem die [[Electronic Frontier Foundation]] (EFF), die [[Mozilla Foundation]], [[Akamai]], [[Google|Google Chrome]] und [[Cisco Systems]]
* Das Projekt unterstützt Bestrebungen großer [[Webbrowser]]-Projekte, unverschlüsseltes [[Hypertext Transfer Protocol|HTTP]] als unsicher zu kennzeichnen
* Weitere Beteiligte sind die Zertifizierungsstelle [[IdenTrust]], die [[University of Michigan]] (U-M), die [[Stanford Law School]], die [[Linux Foundation]]
* Für den gesellschaftlichen Nutzen erhielt Let’s Encrypt mehrere Auszeichnungen, darunter den FSF Award 2019


<noinclude>
<noinclude>
Zeile 35: Zeile 48:
----
----
{{Special:PrefixIndex/{{BASEPAGENAME}}/}}
{{Special:PrefixIndex/{{BASEPAGENAME}}/}}
----
* [[CAcert]]


<!--
=== Dokumentation ===
=== Dokumentation ===
<!--
; Man-Page
# [https://manpages.debian.org/stable/procps/pgrep.1.de.html prep(1)]


; Info-Pages
Platz für interne Hinweise oder zusätzliche Dokumentation.
-->
-->


=== Links ===
== Weblinks ==
==== Projekt ====
# [https://letsencrypt.org/ Offizielle Website von Let’s Encrypt]
# [https://letsencrypt.org/ Offizielle Website]
# [https://cryptologie.net/article/274 Technische Einführung in Let’s Encrypt]
 
==== Weblinks ====
# [https://media.libreplanet.org/u/libreplanet/m/seth-schoen-lets-encrypt/ Seth Schoens Vorlesung bei Libre Planet 2015 zu Let’s Encrypt]
# [https://cryptologie.net/article/274 technische Einführung] in einem Blogeintrag von David Wong


[[Kategorie:Let's Encrypt]]
[[Kategorie:Let's Encrypt]]


</noinclude>
</noinclude>

Aktuelle Version vom 10. Dezember 2025, 17:17 Uhr

Let's Encrypt ist eine kostenlose, automatisierte und offene Zertifizierungsstelle für X.509-basierte TLS-Zertifikate. Der Dienst wird von der gemeinnützigen Internet Security Research Group (ISRG) betrieben

Eigenschaften

Zertifikatsarten
  • Ausstellung von Domain-Validation-(DV)-Zertifikaten für DNS-Namen (Einzelnamen, Subject-Alternative-Name-Zertifikate und Wildcard-Zertifikate)
  • OV- und EV-Zertifikate werden bewusst nicht angeboten, da deren Antragsprozesse nicht vollständig automatisierbar sind
Gültigkeit
  • Standardgültigkeit der Zertifikate beträgt 90 Tage
  • Für den produktiven Betrieb ist eine automatisierte Erneuerung vorgesehen (z. B. über ACME-Clients. Details in Let's Encrypt/Anwendungen)
Kosten
  • Ausstellung und Nutzung der Zertifikate sind kostenfrei.
  • Es wird weitgehend auf freie Software und offene Standards gesetzt
Transparenz
  • Ausgestellte Zertifikate werden in öffentlichen Logsystemen (z. B. Certificate Transparency) protokolliert
  • Die Betreibenden veröffentlichen regelmäßig Transparenz- und Sicherheitsberichte

Organisation

Let’s Encrypt ist ein von der Internet Security Research Group angebotener Dienst

  • Finanzierung erfolgt überwiegend durch Sponsoring großer Unternehmen aus Browser-, CDN- und Infrastrukturbereich sowie durch Spenden
  • Zu den wichtigen Unterstützenden gehören unter anderem die Electronic Frontier Foundation (EFF), die Mozilla Foundation, Akamai, Google Chrome und Cisco Systems

Vertrauensmodell und Zertifikatskette

Let’s Encrypt betreibt eigene Root-Zertifikate (z. B. ISRG Root X1) und stellt davon abgeleitete Zwischenzertifikate bereit.

  • Zur Sicherstellung der Kompatibilität mit älteren Clients wurden zeitweise zusätzlich von IdenTrust signierte Zwischenzertifikate eingesetzt
  • Die aktuell verwendeten Root- und Intermediate-Zertifikate sowie Details zur Schlüsselinfrastruktur sind in Let's Encrypt/Technik beschrieben

Technik

Let’s Encrypt verwendet das ACME-Protokoll (Automatic Certificate Management Environment) zur automatisierten Ausstellung und Erneuerung von Zertifikaten.

  • ACME-Clients führen die Authentifizierung der Domain und die Installation der Zertifikate auf dem Zielsystem aus
  • Unterstützte Validierungsmethoden (z. B. HTTP-01, DNS-01, TLS-ALPN-01) sowie konkrete Anwendungsbeispiele werden in Let's Encrypt/Anwendungen beschrieben
  • Weitere technische Details zur Implementierung, zur CA-Software und zur Infrastruktur sind in Let's Encrypt/Technik zusammengefasst

Bedeutung

Let’s Encrypt hat die Verbreitung von HTTPS im World Wide Web wesentlich beschleunigt und die Hürden für den Einsatz von Transportverschlüsselung deutlich gesenkt

  • Das Projekt unterstützt Bestrebungen großer Webbrowser-Projekte, unverschlüsseltes HTTP als unsicher zu kennzeichnen
  • Für den gesellschaftlichen Nutzen erhielt Let’s Encrypt mehrere Auszeichnungen, darunter den FSF Award 2019


Anhang

Siehe auch


Weblinks

  1. Offizielle Website von Let’s Encrypt
  2. Technische Einführung in Let’s Encrypt


Abgerufen von „https://wiki.foxtom.de/index.php?title=Let%27s_Encrypt&oldid=158806