Eine einfache Website, ein Blog oder ein kleiner Shop sind heute schnell aufgesetzt. Mit ein paar Klicks kann man sich bei Webhostern die eigene Seite samt eigenem Domainnamen zusammen stellen. Doch wenn es darum geht, die Seite für verschlüsselten Datenverkehr auszurüsten, wird es kompliziert. Die Transport Layer Security, kurz TLS, lässt sich nicht mit einem Klick einschalten. TLS ist das Verschlüsselungsprotokoll, das hinter Https-Verbindungen steckt.
"Wenn man auf einem Webserver TLS einrichten will, stellt man erst einmal fest, dass man ein Zertifikat braucht. Dann muss man herausfinden, wo man eines her bekommt. Dann muss man in einem verwirrenden Prozess ein Zertifikat beantragen, vielleicht muss man noch dafür bezahlen, und dann muss man wissen, wie man das Zertifikat schließlich auf dem Server installiert."
Automation bei der Beschaffung des Zertifikats
Joshua Aas glaubt, dass dieser Prozess die Betreiber von Websites davon abschreckt, auf Verschlüsselung zu setzen. Deshalb sei der Großteil der Seiten immer noch ungesichert. Im Sommer 2012 beschloss er, das zu ändern. Seitdem arbeitet er an einer Lösung, mit der jeder TLS auf seinem Webserver aktivieren und problemlos das dafür notwendige Zertifikat installieren kann. "Lasst uns verschlüsseln", "Let's Encrypt", heißt diese Lösung.
"Vor allem bieten wir vollständige Automation. Es ist eigentlich nur ein Klick und unsere Software wird einem das Zertifikat besorgen, es installieren und alles einrichten."
Mit "uns" meint Joshua Aas die Internet Security Research Group. Die Nonprofit-Organisation hat er zusammen mit einem Kollegen und mit Unterstützung ihres Arbeitgebers Mozilla gegründet. Beteiligt sind neben Mozilla auch die Electronic Frontier Foundation und Forscher der Universität von Michigan. Mit der offiziellen Ankündigung von Let's Encrypt wollen die Programmierer jetzt weitere Helfer an Bord holen.
"Wir möchten Input von den Leuten haben, während wir daran arbeiten. Wir wollen, dass Leute sich unsere Software ansehen und uns Feedback geben, sodass wir die bestmögliche Software haben, wenn wir sie veröffentlichen. Das wird hoffentlich Ende des zweiten Quartals 2015 so weit sein. Bis dahin werden wir eine Menge Software schreiben, eine Menge Hardware installieren und daran arbeiten Audits zu bestehen, die notwendig sind um die CA ans Laufen zu bekommen."
Eine Art Personalausweis
CA steht für Certificate Authority. Eine Organisation, die berechtigt ist, Zertifikate auszustellen und mit einem Echtheitsstempel zu versehen. Diese digitalen Zertifikate sind eine Art Personalausweis, den ein Server beim Aufruf einer Seite dem Browser des Nutzers zeigt. Durch das Zertifikat kann der Nutzer sicher gehen, dass er tatsächlich mit dem für die aufgerufene Adresse zuständigen Server kommuniziert.
Bevor das Zertifikat ausgestellt wird, sagt Joshua Aas, wird überprüft, ob der anfragende Server Kontrolle über die Domain hat. Der ganze damit verbundene Prozess ist nicht neu. Nur soll bei Let's Encrypt eine auf dem Server des Benutzers installierte Software den Prozess steuern, sodass der Serverbetreiber selbst sich nicht mehr damit auseinandersetzen muss, wie man ein Zertifikat beantragt und installiert. Damit der Browser das Zertifikat eines Servers später als echt und gültig erkennen kann, muss es von einer anerkannten Zertifizierungsstelle, kurz CA, ausgestellt sein. Vergleicht man ein Zertifikat mit einem Personalausweis, dann wäre die Bundesdruckerei die Zertifizierungsstelle. Anerkannte CA zu werden und als solche in aktuelle Browser und Betriebssysteme aufgenommen zu werden, das ist ein wichtiges Ziel der Internet Security Research Group.
"Wir wollen, dass sichere Kommunikation als Standard angesehen wird"
Die übergeordnete Vision hingegen:
"Wir wollen, dass sichere Kommunikation als Standard angesehen wird. Und nicht unsichere Kommunikation als Standard und Sicherheit als Zusatzoption. Also wir wollen, dass Systeme bei der Einrichtung standardmäßig mit Sicherheit ausgerüstet werden. Und auf Anwenderseite wollen wir, dass die Nutzer sichere Systeme einfordern und nicht damit einverstanden sind über unsichere Kanäle zu kommunizieren."
Let's Encrypt und das dahinter liegende Protokoll soll nach dem Willen der Entwickler schließlich auch offizieller technischer Standard werden. Aus Richtung kommerzieller Security-Anbieter kommen positive Reaktionen auf Let's Encrypt. Es sei aber zu bedenken, dass eine verschlüsselte Verbindung nicht alles sei. Vor der Ausstellung eines Zertifikats sollte etwa auch geprüft werden, ob ein Server Sicherheitslücken hat. Das ist aufwendig und nicht kostenlos zu haben wie das Paket von Let's Encrypt.