Let’s encrypt

Let's encryptNanu, was ist denn das? Verschlüsselung für alle?

Let’s encrypt“ ist ein Ansatz, der breiten Masse der Internetnutzer beim Surfen im Web sichere Transportprotokolle zur Verfügung zu stellen. Die Abhörskandale der letzten Jahre haben gezeigt, dass in großem Maße Daten mitgeschnitten und ausgewertet werden. Geändert hat sich aber kaum etwas.

Die Menschen surfen auch weiter ohne Verschlüsselung im World Wide Web und rufen auch weiterhin ihre Emails nahezu unverschlüsselt über freie WLAN-Netze ab. Plakative Kampagnen großer deutscher Mailprovider sind ein wahrnehmbarer Ansatz. Von einer flächendeckenden echten Ende-zu-Ende (oder besser: Mensch-zu-Mensch) Verschlüsselung sind wir noch immer Lichtjahre entfernt.

Augenfälligstes Merkmal für mehr Sicherheit im Internet wäre es, in der Adresszeile https:// statt http:// zu schreiben. Das kleine „s“, das eine SSL-Verschlüsselung in der Datenübertragung anzeigt, macht nämlich einen ziemlichen Sicherheitsgewinn aus.

SSL setzt sich nur sehr langsam durch

Zertifikatsstellen

Zertifikatsstellen in Firefox

Der Grund ist relativ einfach. Für SSL sind Zertifikate notwendig, die zwischen Client und Server ausgetauscht werden, den Server verifizieren und die Basis des dann auszutauschenden Verschlüsselungskeys darstellen.

Grundsätzlich kann jeder Serverbetreiber solche Zertifikate anlegen und benutzen. Wir reden dann von „selbstsignierten Zertifikaten“, die oft in internen Firmennetzwerken genutzt werden.

Der Haken bei der Sache ist der, dass jeder Clientrechner überprüfen können muss, ob ein präsentiertes Zertifikat wirklich zu dem Server gehört, von dem es präsentiert wird. Also trägt jedes Zertifikat als Merkmal die sogenannte Zertifizierungsstelle in sich, die dann abgefragt werden kann. Das passiert nahezu vollautomatisch, da viele dieser Zertifizierungsstellen in den Betriebssystemen oder Browsern hinterlegt sind. Wie kommen diese eigentlich dort hinein?

Hier kommt Geld ins Spiel

Zertifikate werden von Zertifikatsstellen ausgestellt und kosten Geld. Dieses Geld fließt vom Serverbetreiber, der seine Dienste absichern will zu den Zertifizierungsstellen. Je nach Typ und Zweck kommen da ganz interessante Summen zu Stande.

Da ja jetzt von irgend jemandem Geld in einen Topf eingezahlt wird, kommen Mitverdiener ins Spiel. Für die Hinterlegung der Zertifizierungsstellen in Browsern wie Firefox lassen sich zum Beispiel die Browserhersteller bezahlen. Also landen in den Browsern nur Zertifizierungsstellen, die bezahlen.

Schmerzlich spüren muss das der Verein CAcert.org, der seit Jahren die Meinung vertritt, dass Zertifikate eigentlich kein Geld kosten sollten, da sie der Qualität des Netzes insgesamt dienen. Der Verein versucht schon sehr lange und bislang vergeblich, die eigene Zertifizierungsstelle in den Browsern hinterlegt zu bekommen.

Die Erfahrung zeigt, dass Sicherheit nur genutzt wird, wenn sie automatisch und „ab Werk“ funktioniert.

Geiz ist ungeil

Neben der Unbequemlichkeit einer manuellen Nachinstallation spielt der Geiz der Leute eine ganz gravierende Rolle. Immer mehr Webserver gehen online, fast jeder hat ein Blog. Aber warum SSL-gesichert betreiben? Das kostet doch nur Geld.

Also bleibt die Verschlüsselung des Transportweges auf der Strecke. Selbst nahezu kostenneutral angebotene SSL-Zertifikate für den privaten Einsatz kosten ja noch zu viel.

Sicherheit kostet immer

Der Betrieb einer vernünftig aufgebauten und abgesicherten SSL-Infrastruktur kostet aber einfach Geld. Es braucht redundante Datenhaltung, sichere Kommunikationswege zwischen Rechenzentren, gut ausgebildete Mitarbeiter, eine sichere Organisation der Ablage und Datensicherung. All das verschlingt unglaubliche Summen und erfordert eine langfristige Planung.

Also tritt das Thema SSL seit Jahren auf der Stelle.

Jetzt kommt „Let’s encrypt“ ins Spiel

Eine Initiative namhafter Größen wie CISCO, Akamai und Mozilla, die gemeinsam mit der EFF und IdenTrust antreten, um das Projekt „SSL für alle“ voranzutreiben. Damit sind eigentlich genau die Organisationen versammelt, die ein solches Projekt anschieben können. Ein Netzwerkausrüster, ein Content Delivery Netzwerk, ein Browserhersteller und dazu eine Zertifikatsstelle mit einer Organisation die sich für Sicherheit und Privatsphäre im Netz stark macht. Das sieht nach einer echten Macht aus.

Spannend ist nur eins: Was macht ein Netzwerkausrüster, der mehr als einmal ins Gespräch geriet in diesem Verbund? Eigentlich braucht man doch keine Backboneausrüster im Boot wenn man Clients und Server absichern will. Das macht mich schon nachdenklich zumal auch der bislang einzige Blogbeitrag nicht wirklich ergiebig ist.

Auch stellt sich mir wie immer die Frage wie eine Monetarisierung für die Beteiligten Unternehmen und Organisationen aussieht. Die Grundregel „Eine App die nichts kostet, bezahle ich mit meinen Nutzungsdaten“ gilt ja noch immer. Ein wenig Misstrauen ist also durchaus angebracht.

Denken wir positiv

Der Ansatz ein kleines Tool zu schreiben, das eine automatische Erstellung eines Serverzertifikats triggert, ist faszinierend und gut.

Die Verfahren sind ja im Grunde vorhanden. Keypair erstellen, Signing Request erstellen und an die CA senden. Bis hierhin ist das ein üblicher Vorgang. Neu ist dann die Verifikation des beantragenden Servers/Admins. Simpel wie bei DKIM Mailversand oder der Authentifizierung von Webseiten bei der Anmeldung bei den Google Webmastertools. Einfach eine Zahlenkombination im DNS der Domain hinterlegen oder eine schnöde Webseite mit de Editor der Wahl anlegen und die CA kann prüfen. Der ganze Vorgang wäre in Minutenfrist erledigt.

Das klingt perfekt, zumal auch die Installation der notwendigen Software auf dem Server über eine simple Paketinstallation zu realisieren wäre. Ich bin gespannt, ob die großen Linux-Distributionen mitziehen und die Software in die Verwaltung aufnehmen. Dann muss man nicht einmal externe Paketquellen nutzen, sondern kann sich als Admin auf die eingefahrenen Wege der vorhandenen Softwareverteilung verlassen.

Die Zeit wird zeigen, wie sich der Ansatz entwickelt und wer auf den anrollenden Zug aufspringt.


Mein Autorenprofil bei Google
IT-Beratung - IT-Betrieb - Technologieberatung - IT-Risikobewertung - Vorträge und Weiterbildung zu IT-Themen