Die weltweite Webindustrie ist fast vollständig zu verschlüsselten Verbindungen übergegangen.
Zum Schutz persönlicher Daten von Kunden verschlüsseln Webseiten und Webanwendungen die übertragenen Daten mit einem SSL-Zertifikat.
Wir haben bereits darüber berichtet, wie die automatische Ausstellung eines SSL-Zertifikats zum Schutz von Inhalten, die über ein CDN verbreitet werden, eingerichtet werden kann.
In diesem Beitrag informieren wir Sie über die Geschichte und die Gründe für den Erfolg von Let’s Encrypt, dem heute beliebtesten kryptografischen Zertifikat.
Warum brauchen wir HTTPS?
Das Internet hat sich zu einem globalen Marktplatz entwickelt, auf dem sich jeder sicher sein will, dass seine Transaktionen sicher sind.
Um dies zu erreichen, wurden die Verbindungen zwischen dem Klienten und dem Server in Übereinstimmung mit dem HTTPS-Protokoll (wobei S für Secure steht) unter Verwendung eines SSL-Zertifikats, einer einzigartigen digitalen Signatur einer Webseite, organisiert.
SSL-Zertifikate verschlüsseln Passwörter, Kreditkarten- oder Bankkartennummern, E-Mail-Adressen und andere Informationen, die Kunden auf der Webseite eingeben. Damit sollte verhindert werden, dass Angreifer beim Abfangen von Daten auf vertrauliche Informationen stoßen.
Neben der sicheren Übertragung von Informationen und der Abwicklung von Finanzgeschäften gibt es noch andere gute Gründe, HTTPS zu nutzen, um Ihrem Online-Geschäft zum Erfolg zu verhelfen.
Auswirkungen auf SEO
Seit 2014 haben HTTPS-Verbindungen die Position von Webseiten bei Google-Suchergebnissen beeinflusst. Webseiten mit SSL-Zertifikaten profitierten zunehmend von den Suchergebnissen.
Das Vorliegen des HTTPS-Protokolls wird als vollwertiger Ranking-Faktor berücksichtigt. Auf diese Weise kümmert sich Google um seine Nutzer, indem darauf hingewiesen wird, dass eine bestimmte Webseite nicht empfehlenswert ist, da persönliche Daten, Passwörter oder Bankkarteninformationen gestohlen werden könnten.
Browser-Anforderungen und Nutzervertrauen
Seit 2017 kennzeichnete der Google Chrome-Browser die HTTP-Seiten als nicht sicher, wenn sie nicht mit dem HTTPS-Protokoll arbeiten.
Die Symbole der Adressleiste zeigen an, ob die Webseite über ein Sicherheitszertifikat verfügt, ob der Browser diesem Zertifikat vertraut und ob eine sichere Verbindung zur Webseite hergestellt werden kann.
Etwa jeder fünfte Kunde schließt aus Sicherheitsbedenken eine Online-Transaktion nicht ab, wenn das Symbol einer ungesicherten Verbindung zum Online-Shop angezeigt wird.
Der Übergang zu Mobilgeräten
Smartphones sind zum bevorzugten Gerät für den Zugriff auf das Internet geworden. Bereits 2015 führte Google die Accelerated Mobile Pages (AMP)-Technologie ein, um das Herunterladen von mobilen Seiten zu beschleunigen. Sie ermöglicht das schnellere Herunterladen von Webseiten auf ein mobiles Gerät, wenn die Internetverbindung langsam ist. Diese Technologie funktioniert nur mit Webseiten, die HTTPS verwenden. Aus diesem Grund wird HTTPS schnell zu einem immer wichtigeren Aspekt bei der Optimierung Ihrer Domain für Smartphones mit AMP.
Derartige Einschränkungen sind in neueren Versionen von Browsern und Webanwendungen, die mit HTTPS entwickelt wurden und mit HTTP nicht so effektiv sind, immer häufiger anzutreffen.
Wie ist Let’s Encrypt entstanden?
Let’s Encrypt ist eine Zertifizierungsinstanz, die es jedem ermöglicht, innerhalb von 30 Sekunden vollautomatisch kostenlose kryptografische X.509-Zertifikate für TLS (HTTPS) zu erhalten.
Let’s Encrypt wurde Ende 2012 von zwei Mozilla-Mitarbeitern, Josh Aas und Eric Rescorla, gegründet.
Die Aufgabe des Projekts besteht darin, das Web standardmäßig sicher zu machen und dabei ein einfacheres Verschlüsselungsverfahren zu verwenden.
Zunächst wurde das Projekt privat entwickelt, doch im November 2014 wurde es öffentlich angekündigt und erhielt breite Unterstützung von Seiten der Industrie. Der Dienst wird derzeit von der öffentlichen Organisation Internet Security Research Group (ISRG) verwaltet. Die Hauptsponsoren des Projekts sind die Electronic Frontier Foundation (EFF), die Mozilla Foundation, Akamai, Cisco Systems und weitere. Unter den Partnern sind auch namhafte Zertifizierungsstellen vertreten. Das Projekt wird auf der Grundlage von offenen Standards entwickelt.
Im September 2015 stellte Let’s Encrypt sein erstes Testzertifikat aus, im Dezember begann die öffentliche Beta-Phase. Bis Anfang 2020 haben sie mehr als eine Milliarde Zertifikate ausgestellt. Heute entscheiden sich mehr als 200 Millionen Webseiten für Let’s Encrypt gegenüber anderen Zertifizierungsstellen.
Gründe für die Beliebtheit
Zunächst wurde Let’s Encrypt schnell beliebt, da die Hosting- und CDN-Provider begannen, ihren Kunden diesen Service standardmäßig anzubieten. Zweitens sind Domain Validation-Zertifikate 90 Tage lang kostenlos.
Infolgedessen stellte Let’s Encrypt im Februar 2020 sein milliardstes Zertifikat aus.
Wie ist es ihnen gelungen, die Ausstellung von SSL-Zertifikaten zu automatisieren?
Ihre Technologie basiert auf dem Protokoll „Automated Certificate Management Environment“, das den Prozess der Erstellung aller notwendigen Schlüssel zwischen dem Klienten und der Zertifizierungsstelle innerhalb der PKI automatisiert.
Erfahren Sie mehr über die von Let’s Encrypt verwendete Technologie in diesem Bericht: Let’s Encrypt: An Automated Certificate Authority to Encrypt the Entire Web.
Was ist der Unterschied zwischen bezahlten und kostenlosen Zertifikaten?
Im Jahr 2015 betrugen die durchschnittlichen jährlichen Kosten für ein Zertifikat für eine Domain unter den fünf führenden Zertifizierungsstellen etwa 178 $. Obwohl 2016 eine kostenfreie Alternative in Form von Let’s Encrypt erschien, fielen die Preise für bezahlte Zertifikate nur minimal.
Der Grund dafür ist, dass Let’s Encrypt nicht beabsichtigt, Organisationsvalidierungs- und Extended Validation-Zertifikate kostenlos auszustellen und zu verteilen oder Wildcard-Zertifikate (im Falle einer unbegrenzten Anzahl von Subdomains) zu unterstützen.
Neben der Standardüberprüfung nach Domain unterstützen bezahlte Zertifikate gründlichere Prüfungen nach Unternehmen (Name, Standort und Existenz des mit der Domain verbundenen Unternehmens) und gemischte Prüfungen (der Status des Käufers des Zertifikats als juristische Person), einschließlich manueller Prüfungen.
Bezahlte Zertifikate werden für Unternehmenswebseiten empfohlen, auf denen vertrauliche Daten verarbeitet werden, sowie für E-Commerce-Plattformen, auf denen Zahlungsdetails und persönliche Informationen von Kunden online empfangen werden.
Die Verschlüsselungsverfahren für SSL-Zertifikate, die von verschiedenen Anbietern ausgestellt werden, sind die gleichen. Aus diesem Grund sind kleine Webseiten und Blogs mit Let’s Encrypt, das sich in den letzten drei Jahren zum Webstandard entwickelt hat, völlig in Ordnung.
Wie stellen wir Let’s Encrypt-Zertifikate aus?
- Wir erhalten eine Anfrage des Kunden, ein Let’s Encrypt-Zertifikat auszustellen.
- Wir überprüfen die Richtigkeit der Einstellungen aller angegebenen CNAMEs (Wie man CNAME konfiguriert).
- Wenn alle CNAMEs korrekt konfiguriert sind, senden wir eine Anfrage zur Zertifikatsausstellung an Let’s Encrypt. Daraufhin erhalten wir ein SSL-Zertifikat, das wir dann in verschlüsselter Form an die Edge-Server senden. Wir wenden eine HTTP-01-Herausforderung für die Ausstellung an (Was ist eine HTTP-01-Herausforderung?).
Ein Zertifikat kann nur für eine aktive Web-Ressource ausgestellt werden. Falls Sie eine Ressource erstellt haben und sich diese noch im Aktivierungsprozess befindet, können Sie kein Zertifikat ausstellen.
Kostenloses Let’s Encrypt-Zertifikat in 15 Minuten erhalten
Da die Möglichkeit, ein SSL-Zertifikat zu integrieren, bei unseren CDN-Servicekunden sehr beliebt geworden ist, haben wir die für die Ausstellung erforderliche Zeit auf 15 Minuten reduziert.
Das Zertifikat selbst wird in nur einer Minute ausgestellt, aber es dauert etwa 10–15 Minuten, bis alle Edge-Server erreicht sind. Wir arbeiten weiter daran, auch diese Zeit zu verkürzen.
Informieren Sie sich in einem speziellen Abschnitt der Wissensdatenbank über die Möglichkeiten, das beliebteste SSL-Zertifikat zu integrieren.
Stellen Sie mit dem Gcore CDN und Let’s Encrypt kostenlose SSL-Zertifikate zur Verfügung, die das Herunterladen von Webseiten und allen umfangreichen Inhalten nicht nur schnell, sondern auch sicher machen.