SSL-Zertifikate

LetsEncrypt ist ein gemeinnütziger Dienst, der kostenlose SSL-Zertifikate für Webserver anbietet und ein automatisiertes Validierungs- und Erneuerungssystem verwendet.

Zur Bestätigung vertritt der Besitzer, LetsEncrypt, einen don't call us, we'll call you-Ansatz, der ähnlich wie eine Zwei-Faktor-Authentifizierung funktioniert.

LetsEncrypt sendet dem Besitzer der Domain einen geheimen Schlüssel. Danach ruft LetsEncrypt die Domain auf, für die das Zertifikat angefordert wird, und fragt den geheimen Schlüssel an.

LetsEncrypt bietet verschiedene Möglichkeiten, den anfragenden Server zurückzurufen. Dieser Rückruf ist verpflichtend. LetsEncrypt funktioniert nur für Server, die für LetsEncrypt erreichbar sind. Die Domain muss über das öffentliche Internet zugänglich sein.

Eine Alternative zu einem vertrauenswürdigen öffentlichen Zertifikat ist, insbesondere für größere Organisationen, die Verwendung einer privaten Company CA.

In Unternehmen mit einer privaten Company CA ist das SSL-Zertifikat auf allen Geräten des Unternehmens als vertrauenswürdiges Root-Zertifikat konfiguriert. Auf diese Weise kann das Unternehmen seine eigenen Zertifikate ausstellen und signieren, denen alle Geräte des Unternehmens vertrauen.

Für Cloud-Hosting-Lösungen kann eine private Company CA nur verwendet werden, wenn der Server innerhalb des Firmennetzwerks läuft.

Selbstsignierte Zertifikate werden von ihrem Besitzer selbst signiert.

Für ein selbstsigniertes Zertifikat gibt es keine Vertrauenskette über dem Zertifikat selbst – der Besitzer ist seine eigene Zertifizierungsstelle.

Damit ein Gerät dem Zertifikat vertraut, muss es ausdrücklich darauf hingewiesen werden, dass das Zertifikat vertrauenswürdig ist, indem das Zertifikat als Trusted Root Certificate Authority hinzugefügt wird.