Was ist ein Let’s Encrypt Zertifikat und wofür braucht man es?

Wurden SSL-Zertifikate früher nur bei Webseiten als notwendig erachtet, auf denen ein Datenaustausch stattfindet, werden sie heute immer mehr zum Standard für alle Webseiten. Möchte man einen Webshop betreiben, dann ist ein solches Zertifikat sowieso Pflicht. Let’s Encrypt Zertifikate stellen dabei eine kostenlose Alternative dar, die weltweit bereits mehr als 1 Milliarde Mal genutzt wird.

Mit einem SSL-Zertifikat wird eine verschlüsselte Verbindung zwischen dem Webserver des Webseitenbetreibers und dem Seitenbesucher sichergestellt. Beim Aufruf einer Seite prüft der Browser zunächst einmal, ob ein gültiges Zertifikat vorliegt und damit gewährleistet ist, dass die aufgerufene Domain tatsächlich zum Server gehört. Das geschieht indem geprüft wird, ob der Servername, den der Server dem Browser mitteilt der gleiche ist, wie jener der bei der Zertifizierungsstelle hinterlegt ist. Ist das der Fall, dann wird das SSL Zertifikat als gültig erkannt und eine verschlüsselte Verbindung zwischen dem Browser und dem Server initiiert. Verschlüsselt bedeutet, dass Daten zwischen Webseitenbesucher und Server ausgetauscht werden, ohne dass diese von Dritten mitgelesen werden können. Die vorhandene Verschlüsselung erkennt man bei Aufruf der Seite an dem „https://“ vor der Domain, im Unterschied zum „http://“ vor nicht verschlüsselten Seiten.

So eine Verschlüsselung macht aus vielerlei Hinsicht Sinn bzw. ist eigentlich mittlerweile beinahe Pflicht.

Vorteile einer SSL-Verschlüsselung:

• Man ist rechtlich auf der sicheren Seite, vor allem wenn auf der Website personenbezogene Daten übermittelt werden, die gestohlen werden könnten
• Man benötigt sie mittlerweile, um in Browsern nicht als „unsichere Seite“ gebrandmarkt zu werden, was bei Besuchern zu Irritationen führen könnte. Eine SSL Verschlüsselung hingegen sorgt für Vertrauen.
• Eine SSL-Verschlüsselung ist ein Vorteil punkto Suchmaschinenoptimierung, verschlüsselte Seiten werden von Google bevorzugt.
• Eine SSL verschlüsselte Website hat bessere Ladezeiten als eine unverschlüsselte Website. Das liegt daran, dass nur verschlüsselte Websites das schnellere http/2 Übertragungsprotokoll nutzen können. Damit hat sich der ursprüngliche Geschwindigkeitsnachteil verschlüsselter Websites mittlerweile ins Gegenteil umgekehrt.

Um diese Vorteile zu genießen, muss ein solches Zertifikat nur einmalig am Server installiert werden. Dabei hat man die Auswahl zwischen kostenpflichtigen Zertifikaten und dem kostenlosen Let’s Encrypt Zertifikat. Das Lets Encrypt Zertifikat erfüllt alle zuvor genannten Kriterien, kostenpflichtige Zertifikate bestätigen zusätzlich dazu auch noch die Identität des Webseitenbetreibers (mehr dazu weiter unten).

Let’s Encrypt Zertifikat

Mit der Nutzung eines Let’s Encrypt Zertifikates macht man in jedem Fall nichts falsch. Dieses bietet technisch genau den gleich hochwertigen Verschlüsselungsschutz wie kostenpflichtige Zertifikate. Warum ist es dann kostenlos? Hinter der Zertifizierungsstelle steht mit der Internet Security Research Group eine gemeinnützige Organisation, die es sich als Ziel gesetzt hat, die verschlüsselte und damit sichere Verbindung im Web zum Normalfall zu machen. Im Idealfall sollte es zukünftig also nur noch https-Seiten geben. Um das zu erreichen, hat man einen sehr schnellen und voll automatisierten Registrierungsprozess eingerichtet, mit dem der Aufwand zur Einrichtung und Pflege eines Zertifikates minimal ist und stellt das Zertifikat kostenlos zur Verfügung. Das wird durch die finanzielle Unterstützung einiger Großsponsoren aus dem Webbereich ermöglicht.

Mittlerweile haben zahlreiche Webhoster den Let’s Encrypt Registrierungsprozess in ihr Angebot mit eingebaut und ermöglichen Webseitenbetreibern das kostenlose Einrichten eines Let’s Encrypt Zertifikates mit minimalem Aufwand. In folgendem Beitrag zeige ich wie die Einrichtung eines Let’s Encrypt Zertifikates beim Hoster All-inkl. funktioniert. Wie man dort nachvollziehen kann, lässt sich ein solches Zertifikat heutzutage mit 1 Minute Zeitaufwand einrichten.

Let’s Encrypt Zertifikate werden immer mit einer Gültigkeit von nur 90 Tagen ausgestellt. Das hat den Zweck, mögliche Manipulationen durch Entwendung von Schlüsseln zu erschweren. Das bedeutet für den Webseitenbetreiber im Normalfall aber nicht, dass man sich alle 90 Tage um eine Verlängerung des Zertifikates kümmern muss, da die Hosting-Anbieter die Verlängerung in der Regel automatisch im Hintergrund durchführen. Man muss das Zertifikat also nur einmal beantragen und dann läuft es zeitlich unbefristet am Server.

Beim Let’s Encrypt Zertifikat handelt es sich um ein sogenanntes Domain Validated Zertifikat (DV SSL). Mit dieser Art von Zertifikat wird die sichere Verschlüsselung garantiert und die Zertifizierungsstelle prüft, dass der Webseitenbetreiber diesen Domainnamen verwenden darf. Es wird jedoch nicht die Unternehmensidentität geprüft, dafür bedürfte es einer der zwei anderen Typen von SSL-Zertifikaten, die kostenpflichtig angeboten werden.

Drei Typen von SSL-Zertifikaten

Es werden drei verschiedene Typen von SSL-Zertifikaten am Markt angeboten:

• Domain Validated Zertifikat (DV SSL) – Dazu gehört das zuvor beschriebene Let’s Encrypt Zertifikat. Diese führen keine Identitätsprüfung des Webseitenbetreibers durch, sondern prüfen nur die Domain-Inhaberschaft. Im Gegenzug sind sie sehr schnell und mit wenig Aufwand installierbar und werden von Let’s Encrypt sogar kostenlos angeboten.
• Organization Validated Zertifikat (OV SSL) – Hier wird zusätzlich auch eine begrenzte Überprüfung der hinter der Website stehenden Unternehmensidentität durchgeführt. Zudem garantiert der Aussteller des Zertifikates eine gewisse Haftungssumme, sollte es aufgrund eines unsicheren Zertifikates zu Schäden kommen. Für ein solches Zertifikat fallen Kosten von zumindest 100 bis 200 Euro pro Jahr an.
• Extended Validation Zertifikat (EV SSL) – Hier wird zusätzlich eine strenge Überprüfung der Unternehmensidentität durchgeführt, im Zuge der zahlreiche Nachweise erbracht werden müssen. So ein Zertifikat ist noch mal ein Eck teurer als ein OV SSL Zertifikat

Eine privilegierte Darstellung von Webseiten mit der hochwertigsten EV SSL-Zertifizierung im Webbrowser gibt es nicht mehr. In der Vergangenheit wurde bei Vorhandensein eines solchen Zertifikates der Firmennamen neben dem Browsernamen mit angezeigt und die Adressleiste in grüner Farbe angezeigt. Das haben die Browseranbieter beginnend mit 2019 beendet, eine optische Unterscheidung der Zertifikatstypen ist damit nicht mehr möglich. Dafür müsste man auf das Schlosssymbol klicken und sich die Detailinfos zum Zertifikat ansehen.

Das würde dann am Beispiel der Webseite der deutschen Post wie folgt aussehen:

Zum Vergleich untenstehend meine Test-Webshop Seite, die ein Let’s Encrypt Zertifikat verwendet:

Der Webseitenbesucher kann demnach nur mehr aufgrund des unterschiedlichen Aussteller erkennen, um welchen Typ von Zertifikat es sich handelt. Oder wenn der Seitenbetreiber selbst darauf hinweist, indem er, um das Vertrauen zu erhöhen, das Logo des Zertifizierers auf der Webseite anzeigt.

Mein Fazit: Die Bedeutung von bezahlten SSL-Zertifikaten nimmt eher ab. Mit den Let’s Encrypt Zertifikaten gibt es eine kostenlose und gut funktionierende Alternative und der Unterschied zu einem Bezahl-Zertifikat ist für Webseitenbesucher praktisch nicht zu erkennen. Allerdings ist es weiterhin überlegenswert, ein hochwertiges Bezahl-Zertifikat zu Marketingzwecken einzusetzen. Also indem man die Zertifizierung vornimmt und dann bewusst auf der Website oder im Shop auf diese hinweist, um dem Kunden ein noch besseres Sicherheitsgefühl zu geben.