SSL verschlüsselte Webseite mit Let’s Encrypt bei all-inkl.com

In meiner beruflichen Praxis beschäftige ich mich ebenfalls viel mit Datenschutz und IT-Sicherheit. Deshalb habe ich seit Anfang an das Projekt „Let’s Encrypt“ verfolgt. Let’s Encrypt ist eine neue Certificate Authority, die unter anderem von Mozilla, Cisco, Chrome und anderen großen Unternehmen gesponsert wird. Die Nutzung von Let’s Encrypt ist kostenfrei.

Durch Zufall bin ich dann Anfang April darauf aufmerksam geworden, dass der Hoster „all-inkl.com“ bereits in seinen privaten Hostingpaketen mit der SSL-Erweiterung die Nutzung von Let’s Encrypt Zertifikaten ermöglicht. Dies ist besonders interessant, um schnell und kostenfrei seine Webseite mit https zu sichern. Gründe dafür gibt es viele:

  • Absicherung der WordPress Login-Seite
  • Verschlüsselte Übertragung von Daten eines Kontaktformulares (Pflicht bei Unternehmen! -> BDSG, TMG)
  • u.v.m.

Die Konfiguration ist spielend einfach, denn als Kunde von all-inkl.com ist es nur notwendig, sich in sein KAS einzuloggen und seine Domain aufzurufen. Die Zertifikate von Let’s Encrypt sind dabei nur 90 Tage gültig, werden von all-inkl jedoch automatisch verlängert. Für Privatpersonen oder kleine Unternehmen ist dies kein Problem. Im Unternehmenskontext gibt es jedoch Anwendungsfälle, wo ich eher auf herkömmliche CAs zurückgreifen würde, so ist zum Beispiel HTTP Public Key Pinning (HPKP) bei Let’s Encrypt sehr schwierig bis gar nicht umzusetzen. Darüber hinaus gibt es keine organisationsvalidierten, geschweige denn EV Zertifikate.

Weiterlesen →