Let’s Encrypt stellt jetzt Wildcard-Zertifikate aus

Let' s Encrypt Logo

Bereits im Sommer 2017 hatte Let’s Encrypt Wildcard-Zertifikate angekündigt, welche dann aufgrund technischer Probleme und noch offener Fragen beim Prozess verschoben wurden. Beide Punkte wurden mittlerweile aber gelöst und Let’s Encrypt stellt seit gut zwei Wochen Wildcard-Zertifikate aus. Voraussetzung zur Nutzung ist ein Client welcher “ACMEv2” und die “DNS-01”-Challenge unterstützt.

Mit Wildcard-Zertifikaten können alle Subdomains einer Domain mit einem einzelnen Zertifikat abgesichert werden. Beispielsweise ist ein auf “*.antary.de” ausgestelltes Wildcard-Zertifikat für Subdomains wie “blog.antary.de”, “forum.antary.de” oder “tobias.antary.de” gültig. Aus Sicherheitsgründen ist von einem breiten Einsatz von Wildcard-Zertifikaten abzuraten. Für bestimmte Einsatzzwecke sind diese allerdings sehr nützlich und sinnvoll, z.B. wenn dynamisch neue Subdomains hinzugefügt werden oder für Zertifikatsverwaltungen, um den administrativen Aufwand zu reduzieren.

Für die Ausstellung von Wildcard-Zertifikaten muss ACME-Version 2 genutzt werden. Auf der Homepage von Let’s Encrypt wird eine Liste aller Clients geführt, welche bereits ACMEv2 unterstützten. ACME steht für “Automatic Certificate Management Environment” und ist ein Protokoll zur kostengünstigen und automatischen Ausstellung von Zertifikaten. Während ACMEv1 relativ spezifisch auf Let’s Encrypt zugeschnitten war, soll ACMEv2 auch von anderen Zertifizierungsstellen (CA) genutzt werden können.

Die zweite Voraussetzung zur Nutzung von Let’s Encrypt Wildcard-Zertifikaten ist die “DNS-01”-Challenge. Mit Hilfe dieser Methode stellt Let’s Encrypt sicher, dass interessierte Nutzer von Wildcard-Zertifikaten die Kontrolle der entsprechenden Subdomains beweisen können. Weitere technische Details sind in diesem Forumbeitrag ersichtlich.

Durch die kostenlosen Wildcard-Zertifikate von Let’s Encrypt dürften kommerzielle Anbieter von Zertifikaten zukünftig noch mehr Probleme als ohnehin schon bekommen. Diese bieten zwar Wildcard-Zertifikate mit längeren Laufzeiten von 1 oder 2 Jahren an, aber durch die automatische Erneuerung der Let’s Encrypt Zertifikate ist das oft kein Vorteil mehr. Indes bleibt den kommerziellen Anbietern nur noch das Geschäft mit Extended-Validation-Zertifikaten (EV-Zertifikate), da die Angaben von Hand geprüft werden müssen und sich das Ausstellen nicht automatisieren lässt. Bei EV-Zertifikaten zeigen Browser in der Adressleiste nicht die Domain sondern den Firmennamen an, was zusätzliches Vertrauen schaffen soll. Technisch gibt es aber ansonsten keinen Unterschied zu normalen Zertifikaten.

Tobi

Hallo, mein Name ist Tobias und ich habe diesen Blog im April 2009 ins Leben gerufen. Seitdem blogge ich hier über Software, Internet, Windows und andere Themen, die mich interessieren. SSDblog ist mein zweiter Blog, indem es rund um das Thema SSDs geht. Ich würde mich freuen, wenn ihr meinen Feed abonniert oder mir auf Twitter und Facebook folgt.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert