Die Verschlüsselungsinitiative Let’s Encrypt mit ihren gratis-Zertifikaten hat im Juli 2016 die Marke von 6 Mio ausgestgellten und 4 Mio aktuell gültigen Zertifikaten durchbrochen (Quelle: https://letsencrypt.org/stats/). Auch diese Webseite code.plastikschnitzer.de und zahlreiche andere Projekte aus meiner Hand werden mit Let’s Encrypt (LE) verschlüsselt – Seiten die sonst nie ein SSL-Zertifikat erhalten hätten.
Die Unterstützung von großen Hostern und Kooperationen mit Anbietern wie z.B. wordpress.com, bit.ly, OVH und anderen leisteten ihren Beitrag zum Wachstum. In der post-Snowden-Zeit gibt es nur ein Mittel zur Verteidigung der Privatsphäre: Verschlüsselung! Immer mehr kleinere Anbieter integrieren LE erfreulicherweise in ihr Angebot und ich hoffe, dass das Netz dadurch wirklich ein Stück sicherer wird.
Wenn der Hoster selbst nicht mit wenigen Klicks die Integration von LE ermöglicht, kann es mitunter kompliziert werden, LE einzurichten – ein root-Zugriff per SSH auf den Server muss schon sein. Auch sind die Zertifikate nur 90 Tage gültig (kostenpflichtige Zertifikate 1-4 Jahre), damit das knacken von Schlüsseln unattraktiv wird, da sie ja permanent wechseln und dann wieder neu geknackt werden müssen. Ja, Sicherheit und Benutzbarkeit und Einfachheit kommt selten gemeinsam … wohl dem, der die Zertifikatserneuerung automatisch laufen lassen kann (so wie ich), dann ist es eine einmalige Installation und fertig, mein hoster hat dazu gleich eine Anleitung bereit gestellt: https://www.hostnet.de/faq/wie-kann-ich-letsencrypt-nutzen.html. Sollte einmal die Erneuerung des Zertifikats nicht funktionieren und man bei der Registierung des Zertifikats eine E-Mail Adresse angegeben haben, erhält man 10 Tage vor Ablauf des Zertifikats eine Erinnerungsmail von Lets Encrypt, 1 Tag vor Ablauf und an Tag 0 kommen erneut eine Erinnerungsmails. Praktisch.
Eine Liste der Hoster, die Let’s Encrypt unterstützen, findet man hier (wird laufend aktualisiert): https://community.letsencrypt.org/t/web-hosting-who-support-lets-encrypt/6920
Und wie schaut es auf Seite der Browser aus? Lets Encrypt wird von allen großen Browsern unterstützt. NICHT unterstützt wird jedoch Windows XP und IE8 und älter, da dieser Browser kein SNI unterstützt. Hier kann man keine Ausnahme hinzufügen, wie man es z.B. von selbst signierten Zertifikaten kennt und dann trotzdem mit https weiter surfen – es geht einfach nicht und bleibt bei einer weißen Seite. Chrome und Firefox auf XP unterstützen jedoch Lets Encrypt!
Nun heißt es abwägen: Wieviel XP Nutzer habe ich auf meiner Seite? Kann ich es mir leisten, die Unterstützung zu kippen? Meine persönliche Meinung: Ja. XP muss und wird so oder so sterben. Zudem sind die Browser Statistiken aus den bekannten Webstatistik-Tools nicht zuverlässig, da man ebenso mit gefälschtem User Agent surfen kann. Ich sehe z.B. auf von mit mit LE verschlüsselten Seiten Windows XP Nutzer mit angeblich IE8, obwohl diese rein technisch die Seite gar nicht besuchen können, hier muss also ein gefälschter Browser Agent ausgegeben werden …
Mein Fazit: Augen zu und durch. Wenn sich Lets Encrypt immer weiter durchsetzt, werden die IE8 Nutzer irgendwann selbst merken, dass das Internet einfach nicht mehr „funktioniert“ und ein Wechsel ansteht. Die Existenz dieser IT-Dinosaurier zwingt Diensteanbieter auch immer noch veraltete Verschlüsselungsmethoden anzubieten, auf die man dann wiederrum andere Nutzer „herunterzwingen“ kann und somit diese ebenfalls einem geringeren Sicherheitsstandard aussetzt – eine kleine Menge gefährdet sich somit nicht nur sich selbst, sondern auch alle anderen. Bye bye Windows XP – wer damals auf Applikationen gesetzt hat, die nun unter aktuelleren Systemen nicht mehr laufen, der mag sich vielleicht grundsätzliche Gedanken über die Updatekompatibilität und die niemals still stehende IT-Welt machen und das Resultat der Überlegung in künftige Entwicklungen mit einfließen zu lassen 😉
Alternative: Den XP-Rechner vom Netz abkoppeln, keine USB-Sticks oder andere potentiell infizierten Datenträger verwenden.
Aber nun zurück zu Verschlüsselung und Let’s Encrypt:
Die Vorteile von https liegen auf der Hand:
- Sicherheit der Datenübertragung vor Abhörung von Dritten (bei Übertragung von personenbezogenen Daten sowieso Pflicht in Deutschland!)
- Verschlüsselungssymbol in der Adressleiste im Browser – Nutzer werden es evtl. kennen und schätzen
- Google Ranking Bonus
- Performance Bonus durch http/2 – falls es der Server unterstützt