Verschlüsselung ist die wichtigste Methode, um in der Internetkommunikation für Vertraulichkeit und für Sicherheit zu sorgen. Es lassen sich damit nicht nur Inhalte gegen unerwünschtes Mitlesen schützen, sondern man kann mit kryptographischen Funktionen auch digitale Identitäten nachweisen. So ist es einem Anwender möglich zu überprüfen, dass er wirklich mit dem richtigen Server verbunden ist, bevor er sensible Daten dorthin sendet.
Die Technik, die dazu im Web eingesetzt wird, ist bekannt als SSL (Secure Sockets Layer). Richtiger wäre der Ausdruck TLS (Transport Layer Security), weil das ältere SSL-Protokoll schon vor vielen Jahren durch den Nachfolger TLS abgelöst wurde. Trotzdem hält sich der Begriff SSL im allgemeinen Sprachgebrauch, gemeint ist aber eigentlich immer TLS. Das Protokoll beruht auf kryptographischen Zertifikaten, die einen sicheren Austausch von digitalen Schlüsseln für die eigentliche Datenverschlüsselung erlauben. Wenn es richtig eingerichtet ist, gilt TLS als hochsichere und effektive Methode.
Um nicht nur Spionage, sondern auch kriminelle Machenschaften im Internet sehr weitgehend einzuschränken, wäre es also wünschenswert, wenn alle wichtigen Webseiten TLS nutzen würden. Tatsächlich gehen viele IT-Security-Experten so weit zu sagen, dass am besten gleich sämtlicher Web-Traffic verschlüsselt werden sollte.
Zwei große Hürden haben allerdings bislang verhindert, dass TLS umfassend zum Einsatz kommt:
Eine Initiative aus der Open-Source-Community hat sich auf die Fahnen geschrieben, diese beiden Kernprobleme anzugehen. Unter dem Namen “Let’s Encrypt” plant die Gruppe nicht weniger, als zuverlässige SSL-Zertifikate kostenlos für jedermann anzubieten – und zwar verbunden mit Werkzeugen, die den Aufwand drastisch reduzieren, bis hin zur völligen Automatisierung. Mittlerweile hat die Initiative Unterstützung von Branchengrößen wie Cisco, Akamai oder Automattic erhalten. Seit den ersten Ankündigungen ist die Initiative ISRG (Internet Security Research Group) große Schritte vorangekommen: Sie hat die Kernsoftware entwickelt, eine zuverlässige Infrastruktur aufgebaut und dafür gesorgt, dass ihre Zertifikate von allen wichtigen Browsern und Systemen akzeptiert werden.
Nach einer geschlossenen Betaphase im Sommer 2015 folgte der nächste große Meilenstein: Let’s Encrypt begann öffentliche Betaphase, in der alle Interessierten kostenlose und funktionierende TLS-Zertifikate erhalten können. Im Prinzip gehen die Betreiber davon aus, dass das System bereits produktionsreif ist. Den Status als “Beta” behält man deswegen bei, weil die ehrgeizigen Ziele der Automatisierung noch nicht so vollständig erreicht sind, wie sie definiert sind.
Let’s Encrypt wartet mit folgenden Merkmalen auf:
Wenn die technische Entwicklung so schnell voranschreitet wie bisher, wird Let’s Encrypt in der Lage sein, eine wirklich einfach handhabbare und kostenlose Zertifikatslösung “für jedermann” anzubieten. Die Software für Windows-Webserver etwa ist derzeit noch nicht in offizieller Entwicklung, doch es gibt bereits fortgeschrittene Projekte in der Community.
Macht Let’s Encrypt damit bestehende Anbieter oder interne PKI-Strukturen überflüssig? Nein, für diese gibt es weiterhin zahlreiche Einsatzfelder:
Für den “Standard-Zweck”, die Kommunikation mit einem Webserver über das Internet abzusichern, scheint Let’s Encrypt eine sehr interessante Initiative zu sein. Es ist durchaus zu erwarten, dass sie einen “Ruck” in der IT erzeugt und der Verschlüsselung im Web endlich zum Durchbruch verhilft.