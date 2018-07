Linus Neumann, einer der Sprecher des Chaos Computer Clubs (CCC), nennt es einen "großen Durchbruch": Let's Encrypt ist jetzt in der Public-Beta-Phase. Das bedeutete: Ab sofort kann sich jeder Websitebetreiber ohne vorherige Einladung kostenlose SSL-Zertifikate besorgen und damit die Übertragung von Nutzerdaten kryptografisch vor Schnüfflern absichern.

Let's Encrypt verfolgt ein hehres Ziel: Das Internet soll weniger leicht zu überwachen sein. Bei ungesicherten HTTP-Verbindungen zwischen Client und Server werden übertragene Daten wie zum Beispiel Passwörter oder Suchbegriffe für jeden sichtbar, der sich in die Verbindung einklinken kann. Das kann jemand im selben WLAN sein, ein Internetprovider, aber auch ein Geheimdienst wie die NSA oder ihr britisches Gegenstück GCHQ, die zu diesem Zweck transatlantische Glasfaserkabel anzapfen. Zudem wird für die Beobachter erkennbar, welche Unterseiten einer Domain jemand aufruft, was potenziell die Privatsphäre der Nutzer verletzt.

Die Transportverschlüsselung mit SSL beziehungsweise dessen Nachfolger TLS verhindert all das. Sie ist damit ein bewährtes Mittel gegen billige Massenüberwachung. Nicht umsonst haben große Unternehmen wie Facebook, Google und Yahoo nach den Snowden-Enthüllungen auf SSL/TLS per Default umgestellt. Google belohnt seinerseits auch Websites, die standardmäßig HTTPS bieten, mit einem besseren Ranking in seinen Suchergebnissen.



SSL in weniger als einer Minute implementieren

Für die Betreiber kleiner Websites ist der Umstieg schwieriger. Erstens ist es nicht ganz trivial, die Technik richtig zu implementieren. Zweitens kostet es Geld, weil man besagte Zertifikate braucht, die den Nutzern zeigen, dass sie wirklich auf die gewünschte Website zugreifen. Sie werden von spezialisierten Unternehmen gegen Gebühr ausgestellt. Drittens laufen die Zertifikate irgendwann ab und müssen dann erneuert werden – was Administratoren gerne mal vergessen. Nicht zuletzt aus diesen Gründen sind ungefähr drei Viertel aller Internetverbindungen noch ungesichert.

Let's Encrypt will das ändern. Yan Zhu, eine der Entwicklerinnen, versprach ZEIT ONLINE im September, mit Let's Encrypt könne jeder Admin SSL "in weniger als einer Minute" implementieren, und zwar kostenlos und automatisch "in der sichersten bekannten Konfiguration". Zudem lässt sich auch die Erneuerung der Zertifikate automatisieren. The Register hat es bereits ausprobiert und findet es "fast zu einfach".

HTTPS schützt Nutzerdaten Mögliche Mitleser der Internetkommunikation haben es ohne der Verschlüsselung durch HTTPS leicht, an Benutzernamen und Passwörter zu gelangen. Klicken Sie auf die Grafik, um den Schalter für HTTPS umzulegen.

Hinter dem Projekt steckt die gemeinnützige Internet Security Research Group, die mit Let's Encrypt eine freie, offene Certificate Authority (CA) erreichten will. Sie wird unter anderem unterstützt von Mozilla, der Electronic Frontier Foundation, Cisco, Akamai und seit gestern auch von Facebook.

Onlinewerbung verträgt sich nicht mit HTTPS

Zwar können Website-Betreiber, die keine CA bezahlen wollen, schon seit Längerem kostenlose und selbst signierte Zertifikate verwenden. Aber das führt dazu, dass Besucher der Website beim ersten Aufruf eine Sicherheitswarnung angezeigt bekommen und eine Ausnahmegenehmigung in ihrem Browser hinzufügen müssen – vorausgesetzt, sie vertrauen darauf, dass der Anbieter der Website wirklich der ist, für den er sich ausgibt. Mithilfe von gefälschten Zertifikaten, die ein Nutzer unvorsichtigerweise akzeptiert, können Angreifer Phishing-Attacken ausführen. Let's-Encrypt-Zertifikate dagegen werden bereits von allen großen Browsern unterstützt, weil sie durch die etablierte CA IdenTrust signiert wurden.

Administratoren finden bei golem.de, ComputerBase und natürlich bei Let's Encrypt selbst genauere Anleitungen. Dennoch werden viele von ihnen vor einem Problem stehen, unter anderem auch ZEIT ONLINE: Werbung lässt sich nur schwer oder auch gar nicht verschlüsselt ausliefern. An den heutigen Echtzeit-Vermarktungssystemen sind zahlreiche Parteien beteiligt, die alle zusammenspielen müssten, damit eine Website komplett HTTPS-gesichert ausgeliefert werden kann, was verschiedene technische und organisatorische Probleme bereitet. Dieser heise-Artikel erklärt es recht ausführlich. Die Alternativen wären das sogenannte Native Advertising, das aber schwerer als Werbung zu erkennen ist und deshalb ebenfalls nicht unproblematisch – oder der Umstieg auf Paywalls, so dass die Nutzer für Inhalte zahlen müssen.

Let's Encrypt ist also nicht die endgültige Lösung für alle Betreiber. Es bietet auch noch nicht alle Arten von Zertifikaten an, die es bei anderen, großen CAs gibt. Linus Neumann vom CCC nennt Let's Encrypt dennoch mit zumindest mittlerem Ernst "das einzige euphoriestiftende Projekt des Jahres".