Lets Encrypt macht das Internet jeden Tag ein Stück sicherer!

Durch Lets Encrypt erhält man nur einen zusätzlichen Buchstaben in der Internetadresse. Doch der hat einen gewaltigen Impact. Und das sogar auf die gesamte Sicherheit im Internet. Es ist die Rede von dem „s“ hinter dem http. Der sichtbar kleine Unterschied wirkt sich enorm auf die Sicherheit im Netz, und damit auch auf alle Teilnehmer und Besucher aus.

Er sorgt nämlich dafür, dass die Daten zwischen dem Browser und dem Webserver verschlüsselt werden. Ein Vorteil, von der jede Website einen Nutzen von haben kann.

Geschäftsmodell Sicherheit – Lets Encrypt bietet es kostenlos an!

Doch lange Zeit war es auch eines der beliebtesten Geschäftsmodelle im Netz. Jeder Hosting Provider hat diesen Service kostenpflichtig angeboten. Und wer seine Website mit dem vertrauenswürdigen „s“ ausstatten wollte, musste bis vor einigen Jahr in die Hosentasche greifen. Ab 14,99€ waren die Zertifikate, die nötig für die Verschlüsselung sind, erhältlich. Nach wie vor gibt es auch noch die extended Certificates die mit bis zu 1.500€ zu Buche schlagen. Natürlich handelt es sich um eine Jahresgebühr die man für die Zertifikate bezahlt. Doch warum sollte man für etwas bezahlen, was es auch kostenlos gibt? So ist es zumindest bei den einfachen Zertifikaten. Und genau das ist der große Vorteil von Lets Encrypt.

Braucht meine Website HTTPS?

Jeder Betreiber einer Website kann seit Ende 2015 Lets Encrypt in Anspruch nehmen und so den Datenverkehr vom Besucher verschlüsseln. Allein das ist schon ein hervorragender Service. Verschlüsselte Websites bringen nämlich enorme Vorteile mit sich. Inhalte und Eingaben lassen sich nur mit sehr viel mehr Aufwand manipulieren und entschlüsseln. Aus diesem Grund ist HTTPS auch für Websites interessant, die gar keine Eingabefelder bereitstellen. Manipulationen, z.B. die Veränderung der IBAN, fällt ohne Verschlüsselung kaum auf. Viele Hosting Anbieter sind mittlerweile mitgezogen und bieten die einfache Verschlüsselung unkompliziert und vor allem kostenfrei an. Du willst wissen ob deine Website auch HTTPS benutzen sollte? Wie für alles andere gibt es genau diese Website im Netz, die dir diese Frage beantwortet: https://doesmysiteneedhttps.com/

Jede Seite sollte Verschlüsselung nutzen.

Klicken und schon erhältst du die Antwort.

Ab sofort bietet Lets Encrypt auch Wildcard Zertifikate an!

Zum Zeitpunkt der Zertifikatsausstellung musste jede Subdomain explizit benannt worden seien. Das ist auf diesem Blog hier auch der Fall. Es gibt die Domain für unsere Landing Page (http://www.xignsys.com). Es gibt aber auch noch die Adresse für unseren Blog (https://blog.xignsys.com). Das ist bei kleineren Projekten kein Problem. Aber in drei Monaten, was die Gültigkeitsdauer von einem Zertifikat ist, kann das ein oder andere Projekt aber schon dazu kommen. Das ist besonders praktisch bei den jetzt veröffentlichten Wildcard Zertifikaten.

Das Anlegen von neuen Subdomains zwang die Administratoren bisher dazu ein neues Zertifikat zu beantragen. Das war nötig, damit auch die neue Seite eine verschlüsselte Verbindung aufbauen konnte. Mit einem WIldcard Zertifikat ist das nicht mehr nötig. Wildcard-Zertifikat gelten für ganze Domains (*.xignsys.com) und bieten Unternehmen und Privat eine bequemen Handhabung.

Lets Encrypt wird auch von Kriminellen benutzt – das ist aber hinzunehmen!

HTTPS vermittelt Echtheit, Vertrauenswürdigkeit und eben auch Sicherheit. Eigenschaften die sich Kriminelle zu Nutze machen. Denn eine Phishing Website die eine verschlüsselte Verbindung anbietet, ist wesentlich erfolgreicher als die unverschlüsselte Phishing Website. Doch der entscheidende Unterschied ist hier, dass die Kommunikation zwar verschlüsselt stattfindet, nicht aber gewährleistet wird das der am anderen Ende auch der ist, der er zu sein scheint.

Das Lets Encrypt Zertifikat von unserer Landing Page.

Das ist aber ein generelles Problem. Schindluder wurde auch schon mit den erweiterten Zertifikaten getrieben. Im Firefox reicht ein Klick auf das grüne Schloss und den „>“ Pfeil um erste Informationen über das Zertifikat zu erhalten.

Unser Tipp beim Umgang mit HTTPS Websites im Allgemeinen!

Bei den beliebtesten Websites, welche über die Lesezeichen angesteuert werden, kann man etwas weniger Wachsam sein. Hier ist es nur entscheidend, dass die Verbindung nicht plötzlich unverschlüsselt stattfindet. Doch bei der nächsten Google Suche oder dem nächsten Schnäppchen landet man evtl. auf einer Website, die etwas unseriös aussieht. Auf der nach Hinweisen gesucht wird, um festzustellen ob der Betreiber etwas Böses im Schilde führt.

Das Überprüfen des Impressums und der Widerrufsbelehrung sind zwei Maßnahmen. Ein Anruf bei der angegebenen Telefonnummer kann ein weiteres Indiz dafür sein, dass das Unternehmen wirklich existiert. Ist die Kommunikation zwischen Browser und Webserver mit Hilfe von HTTPS verschlüsselt, heißt es nicht, dass der Webshop auch seriös ist. Und hier kann der Einsatz von Lets Encrypt ein negativer Indikator sein. Denn wenn man nichts bezahlen muss, ist auch keine gültige Zahlungsmethode, geschweige denn Rechnung

sanschrift nötig. Es ist kostenlos und kann zweckentfremdet werden. Der Gefahr sollte man sich bewusst sein.Der Nachweis über den Besitzer einer Domain und deren Sub-Domains erfolgt über den Besitz jener. Das heißt, Lets Encrypt prüft bei der Beantragung eines SSL Zertifikats, ob man im Besitz der Adresse ist, für die das Zertifikat beantragt wird. Das kann geschehen, indem ein eigenständiger Server von Lets Encrypt auf dem hinter der Domain befindlichen Webserver gestartet wird oder einfach die Eigenschaften der laufenden Server genutzt wird. Dies funktioniert besonders gut beim NginX und dem Apache Webserver.

Da das Thema SSL und TLS einer der Grundpfeiler der Sicherheit im Internet darstellt und Lets Encrypt einen kostenlosen und zudem einfachen Weg bietet, jede Webseite im Internet mit Verschlüsselung zu versehen, möchten wir dem Thema SSL und TLS, einen weiteren Artikel widmen. Dabei gehen wir unteranderem auf die techni schen Hintergründe ein wie SSL/TLS auch für die Authentifizierung des Nutzers und nicht nur der Webseite genutzt werden kann.

Im gleichen Atemzug werden wir euch dann auch erklären, wie wir in der Lage sind die oben erwähnten Phishing Angriffe die trotz SSL/TLS möglich sind, mit XignQR zu verhindern und wie XignQR starke Authentifizierung und die Datenübertragung von Nutzern sicher ermöglicht, auch wenn kein SSL/TLS vom Server verwendet wird. Ansonsten steht dem sicheren, verschlüsseltem Surfen nichts mehr im Wege! Denn aus unserer Sicht ist Verschlüsselung immer besser als keine Verschlüsselung!

Der Beitrag Lets Encrypt macht das Internet jeden Tag ein Stück sicherer! erschien zuerst auf XignSys Blog.