Blog

24. Januar 2018

Let’s Encrypt – SSL-Zertifikate kostenlos, sicher und schnell einrichten

Let's Encrypt

maxcluster bietet ein neues Feature im eCommerce Stack: Let’s Encrypt. Dieses Feature lässt sich über unser Managed Center aktivieren. Let’s Encrypt steht für die schnelle, einfache und kostenlose HTTPS-Verschlüsselung.
Im eCommerce Hosting gehört die HTTPS-Verschlüsselung zu den komplexen Verfahren und wie immer sind es die kleinen Details, die hier den Unterschied machen … 

Die Installation einer HTTPS-Verschlüsselung erfordert immer präzises Arbeiten – was sollte da bei Let’s Encrypt einfacher sein?

Die Vertrauenswürdigkeit einer Webseite oder eines Onlineshops hängt von ihrer Verschlüsselung ab. Deshalb ist die Einrichtung von SSL-Zertifikaten immer sehr heikel. Da unsere Linux Administratoren diese Aufgabe entsprechend gewissenhaft ausführen, bringt die Einrichtung oder Erneuerung eines SSL-Zertifikats einen hohen Zeitaufwand mit sich.

Zunächst muss unser Linux Administrator mehrfach und ausführlich mit dem Kunden oder der Agentur kommunizieren, um die richtigen Informationen zum Zertifikat sowie eine Kostenfreigabe einzuholen. Auch auf der Seite unserer Kunden entsteht ein hoher Kommunikationsaufwand, denn der Entwickler des Kunden und/oder die Agentur müssen sich ebenfalls abstimmen und um eine Kostenfreigabe bitten. Ist endlich alles geklärt, bedeutet die Installation des Zertifikats für unseren Administrator viel „Copy & Paste“, eine nur scheinbar leichte Arbeit, denn zur Fehlervermeidung erfordert sie große Konzentration.

Theoretisch ist die Einbindung eines Zertifikats eine Routineaufgabe. Trotzdem erfordert sie viel Aufmerksamkeit, um sie korrekt auszuführen. Ein Fehler ist oftmals mit einer kompletten Störung gleichzusetzen. Deshalb können Fehler in dem Routineprozess für eine Großzahl unserer Kunden katastrophale Auswirkungen haben und den Umsatz um ca. 80-90 % (unsere Erfahrung) einbrechen lassen.

Dieser Prozess lässt sich mit Let’s Encrypt vereinfachen! Die Validierung und Integration haben wir nahezu vollständig automatisiert …

Das von Let’s Encrypt eingeführte ACME-Protokoll ermöglicht eine einfache und vor allem auch kostenlose Validierung des Zertifikats. Die technische Grundlage hierfür – den „Certbot“ – haben wir bei uns im Managed Center integriert, sodass die Einbindung des Zertifikats mit wenigen Mausklicks erfolgt. Auch erreichen wir dadurch einen voll automatisierten Prozess für die Zertifikatserneuerung. Entsprechend entfällt bei der Verwendung des kostenlosen Let’s Encrypt Zertifikats sowohl auf unserer als auch auf der Seite des Kunden oder der Agentur die komplette Kommunikationskette für Informationen, Nachfragen und Kostenfreigaben.

Unser neues Feature „Let’s Encrypt“ lässt sich mit wenigen Klicks für eine neue oder bestehende Domain aktivieren.

Dabei spielt es überhaupt keine Rolle, welchen Webserver Sie derzeit verwenden – maxcluster unterstützt Apache und NGINX gleichermaßen.

Die Aktivierung eines Let’s Encrypt Zertifikats für Ihre Domain geschieht über unser Managed Center. Wählen Sie zunächst Ihren Webserver – Apache oder NGINX – aus und rufen Sie die Rubrik „Neue Domain“ oder „Domain bearbeiten“ auf. Hier finden Sie die Bereiche „Allgemein“, „SSL“, „Modus“ und „PHP“. Im ersten Feld „Allgemein“ tragen Sie Ihre Domain ein (siehe Bild 1). Speichern Sie und wählen Sie anschließend den Reiter „SSL“ aus.

Let's Encrypt bei maxcluster einrichten - Domain eingeben

Bild 1: Let’s Encrypt bei maxcluster einrichten – Domain eingeben

Im Bereich „SSL“ setzen Sie bei „Let’s Encrypt Zertifikat“ ein Häkchen und bestätigen im Anschluss Ihre IP-Adresse. Wir empfehlen zudem, je ein Häkchen bei „Automatisch auf SSL weiterleiten“ und „Ablaufdatum des Zertifikats überwachen“ zu setzen (siehe Bild 2). Hiermit aktivieren Sie eine Überwachung durch maxcluster. Es können unvorhersehbare externe oder interne Fehler bei der Generierung von Zertifikaten passieren. Deshalb empfehlen wir die Aktivierung unseres Kontroll-Monitoring. Dies erlaubt uns, im Fehlerfall schnell reagieren zu können. Wir möchten uns nicht blind auf die Let’s Encrypt Technik verlassen müssen. Stattdessen vertrauen wir unserer doppelten Absicherung. Sollte z.B. der Certbot von Let’s Encrypt ein Zertifikat einmal nicht automatisch erneuern, können wir dank des Monitorings reagieren, bevor es ausläuft.

Let's Encrypt bei maxcluster einrichten - IP-Adresse eingeben

Bild 2: Let’s Encrypt bei maxcluster einrichten – IP-Adresse eingeben

Die durch Let’s Encrypt vorgegebenen Restriktionen hinsichtlich der Aktivierung oder Änderung eines Zertifikats werden von uns einfach und stets nachvollziehbar im Managed Center dargestellt (siehe Bild 3). Die Regeln können Sie direkt in der Let’s Encrypt Dokumentation nachlesen.

Änderungen am Let's Encrypt Zertifikat

Bild 3: Ansicht des Let’s Encrypt Limits

 

Ist das Let’s Encrypt Zertifikat einmal eingerichtet, müssen Sie nicht weiter tätig werden. maxcluster sorgt sowohl für die Verlängerung des Zertifikats als auch für dessen Aktualisierung, sollten sich Änderungen an Ihrer Domain ergeben.

Bei der Integration eines SSL-Zertifikats können viele Fehler passieren. Wieso ist der Einsatz von Let’s Encrypt einfach genial?

Ist die Zertifikatskette auf dem Webserver nicht korrekt hinterlegt, bekommt der Besucher im Browser Fehlermeldungen angezeigt. Bei herkömmlichen SSL-Zertifikaten ist die Fehleranfälligkeit groß:

  • Es kann das falsche Zertifikat gewählt werden.
  • Bestandsteile vom SSL-Zertifikat können fehlen.
  • Die Reihenfolge der Zertifikatskette kann fehlerhaft sein.

Deshalb werden herkömmliche Zertifikate von unserem eigenentwickelten Validator geprüft, bevor sie eingebunden werden. Mit unserem neuen „Let’s Encrypt“ Feature haben wir jetzt die Automatisierung des gesamten Integrationsprozesses erreicht. Das Resultat ist eine fehlerfreie und nur wenige Sekunden dauernde Installation des Zertifikats.

Ein Domain validiertes SSL-Zertifikat kostet bei uns 30€ für ein Jahr und 45€ für 2 Jahre. Die Einrichtung und Überwachung von Let’s Encrypt Zertifikaten bieten wir kostenfrei an!

Die Kosten für Domain validierte SSL-Zertifikate schließen unseren Aufwand für deren Einrichtung sowie die Überwachung ihrer Gültigkeit ein. Dies bedeutet, dass wir sicherstellen, dass Zertifikate ihre Gültigkeit niemals verlieren und unsere Kunden informieren, sobald ein Zertifikat ausläuft. Das hört sich einfacher an, als es ist, denn in der Regel ist damit ein zeitraubender Wiedervorlage-Prozess verbunden, bei dem wir den Kunden mehrfach per E-Mail anschreiben oder auch anrufen müssen. Reagiert der Kunde verspätet oder gar nicht, sorgen wir trotzdem für eine Erneuerung des Zertifikats. Zu groß wäre der Schaden für unsere Kunden, wenn die Webanwendung oder der Shop mit einem ungültigen Zertifikat betrieben würde. Deshalb fühlen wir uns verantwortlich, dass Besucher der Website niemals eine Fehlermeldung aufgrund eines nicht erneuerten Sicherheitszertifikats im Browser angezeigt bekommen.

Der Bezug und die Bereitstellung Domain validierter SSL-Zertifikate über die Vergabestellen sowie der anschließende Integrations- und Überwachungsprozess bei maxcluster verursachen hohe Kosten und Aufwände. Dies gehört mit Let’s Encrypt der Vergangenheit an!

Es gibt unterschiedliche Validierungstypen für SSL-Zertifikate. Wieso soll ich überhaupt noch Geld für SSL-Zertifikate ausgeben?

SSL-Zertifikate sind Identitätsnachweise einer Website, die dazu dienen, eine Webseite über HTTPS zu verschlüsseln. Es lassen sich drei unterschiedliche Arten von Zertifikaten unterscheiden:

  • Domain-Validation-Zertifikat (DV): Bei diesem Zertifikat wird überprüft, ob der Antragsteller auch der Domaininhaber ist. Meistens wird zur Überprüfung eine Datei mit speziellem Namen unter der Domain abgelegt oder es wird eine E-Mail, die eine Bestätigung erfordert, an eine Mailadresse der Domain gesendet. Auf diese Weise wird die HTTPS-Seite verschlüsselt. Angezeigt wird die erfolgreiche Verschlüsselung durch das Schloss-Icon in der Adressleiste des Webbrowsers.
  • Organisation-Validation-Zertifikat (OV)Bei diesem Zertifikat prüft die Certification Authority (CA) nicht nur den Domaininhaber, sondern auch die Existenz des Unternehmens sowie die Befugnis des Antragstellers, das Zertifikat zu beantragen. Die Sicherheit der Website wird ebenfalls durch das Schloss-Icon in der Adressleiste des Webbrowsers kenntlich gemacht.
  • Extended-Validation-Zertifikat (EV)Dieses Zertifikat bietet die höchste Vertrauensstufe, da das Unternehmen äußerst gründlich nach der EV-Richtlinie überprüft wird. Diese Vertrauensstufe wird sichtbar gemacht, indem in der Adressleiste des Webbrowsers zusätzlich zum Schloss-Icon das Unternehmen in grüner Schrift genannt wird (siehe Screenshot 4).
Let's Encrypt Beitrag - Grüne Adressleiste

Bild 4: Ansicht mit EV-Zertifikat

 

Diese Zertifikate werden über eine Vergabestelle erworben, welche vorab die Identität und Richtigkeit der Angaben prüft. Nach erfolgreicher Prüfung stellt die Vergabestelle dem Antragsteller das SSL-Zertifikat aus. Dieses muss anschließend von einem Administrator installiert werden, wobei eine Konfiguration des Webservers erforderlich wird. Diesen Schritt übernehmen wir bisher für unsere Kunden. Unsere Kunden mussten bislang lediglich einen Fragebogen mit Eckdaten ausfüllen und – bei OV- und EV-Zertifikaten – Verifizierungsanrufe annehmen. Darüber hinaus bieten wir die Möglichkeit an, bereits vorhandene Zertifikate in unserem Managed Center zu hinterlegen.

Let’s Encrypt bietet nur DV (Domain validierte) Zertifikate an. Da jedoch einige Unternehmen Wert auf die höhere Vertrauenswürdigkeit eines EV Zertifikats mit seiner grünen Adressleiste legen, müssen die EV Zertifikate weiterhin kostenpflichtig gekauft werden. Zusätzlich evaluiert die Zertifizierungsstelle von Let’s Encrypt zurzeit die Einführung kostenloser Wildcard-Zertifikate für alle Subdomains. Diese Option soll bald allen Nutzern offen stehen.

Gibt es technische Gründe, die gegen ein Let’s Encrypt Zertifikat sprechen?

Einige ältere Software Versionen sind leider nicht mit Let’s Encrypt kompatibel:

Inkompatible Software

  • Blackberry < v10.3.3
  • Android < v2.3.6
  • Nintendo 3DS
  • Windows XP prior to SP3
    • cannot handle SHA-2 signed certificates
  • Java 7 < 7u111
  • Java 8 < 8u101
  • Windows Live Mail (2012 mail client, not webmail)
    • cannot handle certificates without a CRL
  • PS3 game console
  • PS4 game console with firmware < 5.00

 

Schaden Let’s Encrypt Zertifikate nicht dem maxcluster Geschäftsmodell?

Ja und nein. Let’s Encrypt Zertifikate sind kostenlos. Dank der Let’s Encrypt Vergabestelle können wir kostenlose Domain validierte SSL-Zertifikate bekommen, die von allen modernen Browsern akzeptiert werden. Zusätzlich können wir die aufwendige Integration und Verwaltung der Zertifikate dank unseres effizienten Automatisierungsprozesses ebenfalls kostenfrei anbieten. Was wir an Umsatz verlieren, gewinnen wir an Zeit. Darüber hinaus erhöhen wir die Qualität des eCommerce Hosting, indem die neuen Prozesse viele potenzielle Fehler ausschließen. Auch die frei gewordene Zeit werden wir in die Qualitätsverbesserung unseres Hostings investieren. Letzten Endes profitieren wir zusammen mit allen Partnern von noch mehr Performance, Stabilität und Sicherheit.

Fazit

Let’s Encrypt spart Zeit, Geld und Nerven. Der Betreiber einer modernen Webentwicklung findet keine technischen Gründe, die gegen eine Nutzung von Let’s Encrypt sprechen. Aktuell steht lediglich der Wunsch nach einem OV, EV oder Wildcard Zertifikat der Verwendung von Let’s Encrypt entgegen. Die Wildcard Integration soll jedoch bald möglich werden.