:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/be/01bea1dcac017ca8dddcd85afd19ace1/0115184943.jpeg "Nathan Howe und Kevin Schwarz von Zscaler wagen den Blick in die Glaskugel und stellen zehn Prognosen für die IT-Sicherheit 2024 auf. (Bild: overrust - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7b/a4/7ba4275545a8dd842d7b5bfcadbf633c/0115184197.jpeg "Moderne Remote Support-Tools mit erweiterten Sicherheitslösungen bieten eine starke Ressource für IT-Teams, die aktuellen Sicherheitsanforderungen mit begrenzter Manpower zu meistern. (Bild: Deemerwha studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/11/db/11db72379b5c9331464c8b43a5330d5c/0115183494.jpeg "„KI klug einsetzen heißt: nicht zu technikgläubig sein. Denn ein KI-Werkzeug allein kann keine bestehende Sicherheitslösung ersetzen.“ sagt Jacques Boschung, CEO von Kudelski Security. (Bild: sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/80/42/8042ab77a61420b1a5260486ba7224ab/0115183146.jpeg "Veritas 360 Defense soll Funktionen aus den Bereichen Datenschutz, Datensicherheit und Datenmanagement vereinen. (Bild: ©metamorworks, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/a6/f6a621103ea58427487396f7d383509b/0115102621.jpeg "Die Implementierung einer User Lifecycle Management-Software vereinfacht und beschleunigt den Prozess der Benutzer- und Rechteverwaltung erheblich. (Bild: geniusstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/00/540011b42c1b5fca2484ee1744887de5/0115185522.jpeg "Metriken bzw. KPIs sind für die IT-Security unerlässlich, um die Performance zu messen und somit effektiver auf Risiken zu reagieren. (Bild: Artem - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/30/34/3034da6c1f49a32546346fabf995ba62/0115184592.jpeg "Open Source-Projekte waren für Unternehmen früher eher eine Notlösung, jetzt sind sie oft eine bewusste strategische Entscheidung. (Bild: cacaroot - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Gratis-SSL-Zertifikat in der Praxis Wordpress-Website mit Let‘s Encrypt verschlüsseln
Let‘s Encrypt will die SSL-Verschlüsselung von Webseiten für jedermann verfügbar machen. Wie kompliziert HTTPS sich auf dem eigenen Blog einrichten und aktivieren lässt, hat unser Autor im Selbstversuch geprüft. Populäre Webhoster durften zudem ihre Meinung zu Let‘s Encrypt.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
Let‘s Encrypt ist ein interessantes Projekt: Der Dienst will jedermann mit einem kostenlosen SSL/TLS-Zertifikat ausstatten, um die Kommunikation von Privatpersonen und Unternehmen besser vor neugierigen Augen zu schützen. Und das kommt gut an: Obwohl Let‘s Encrypt noch in der Beta-Phase ist, wurden bereits fast 2,5 Millionen gültige, aktive Zertifikate verteilt. Vor allem die versprochene Einfachheit hat mein Interesse geweckt: Ich wollte mein Wordpress-Blog schon immer zusätzlich per SSL verschlüsseln, bislang haben mich die unterschiedlichsten Anleitungen aber eher abgeschreckt.
Bei Let‘s Encrypt wirkt das deutlich einfacher, auch weil keine Investition vorab notwendig ist. Sie sehen schon, dieser Artikel wird etwas anders als die meisten hier auf Security-Insider, es ist eher ein Erfahrungsbericht als ein allgemein gültiger Workshop. Lassen Sie uns wissen, was sie davon halten.
:quality(80)/images.vogel.de/vogelonline/bdb/1017600/1017624/original.jpg "Uberspace hat den Let‘s Encrypt Client so angepasst, dass er keine Root-Rechte benötigt. Enorm praktisch ist das auf Shared-Hosting-Umgebungen. Im ersten Schritt wird die für das Zertifikat notwendige Konfiguration erstellt.")
:quality(80)/images.vogel.de/vogelonline/bdb/1017600/1017625/original.jpg "Anschließend wird das Zertifikat auf Basis der Konfiguration von Let‘s Encrypt angefordert.")
:quality(80)/images.vogel.de/vogelonline/bdb/1017600/1017626/original.jpg "Nachdem das fertige Zertifikat im dritten Schritt eingebunden wurde, ist es innerhalb weniger Minuten aktiv.")
:quality(80)/images.vogel.de/vogelonline/bdb/1017600/1017627/original.jpg "Technisch ist alles OK, zumindest laut dem SSL-Report von Qualys.")
Hintergrundinformationen zu Let‘s Encrypt
Der Dienst ist eine vollwertige Certificate Authority, die X.509-Zertifikate für TLS ausgibt. Gestartet wurde das Projekt in 2012 von zwei Mozilla-Angestellten, einem Mitglied der EFF sowie einem Mitglied der University of Michigan. Diese gründeten die Firma hinter Let‘s Encrypt, die Internet Security Research Group im Mai 2013. Zahlreiche Unternehmen unterstützen das Projekt inzwischen, darunter bekannte Namen wie Akamai, Cisco, Mozilla, Facebook, Automatic oder Chrome.
Die Zertifikate sind sogenannte Domain Validation Certificates. Dieses bestätigt gegenüber den Nutzern, dass die Daten, die von der Domain geliefert werden nicht manipuliert wurden- moderne Browser zeigen bei korrekter Installation ein grünes Vorhängeschloss.
Diese Art von Zertifikat bestätigt im Übrigen nicht, dass etwa ein genanntes Unternehmen tatsächlich hinter der Webseite steckt – dies gewährleistet nur das sogenannte Extended Validation Certificate. Und tatsächlich nutzen auch Kriminelle den Dienst, Trend Micro fand bereits erste Malware-Kampagnen, die Let‘s Encrypt für bösartige Zwecke nutzen.
Für den Besitzer hat Let‘s Encrypt auch ein paar Nachteile: Die Zertifikate sind immer nur 90 Tage gültig, entsprechend müssen Nutzer sie regelmäßig aktualisieren. Zudem gibt es keine Wildcard-Zertifikate, für Subdomains wie etwa „Forum.Webseite.de“ müssen separate Zertifikate eingerichtet werden.
Installation mit drei Befehlen
Für mich ist mit der größte Reiz die von der Let‘s-Encrypt-Community entwickelten Werkzeuge, die der Dienst mitliefert. Diese sollen die Installation vereinfachen und die Zertifikate automatisieren. Mein Webspace-Anbieter Uberspace hat diese erfreulicherweise gleich in eigene Werkzeuge integriert und vereinfacht das Anfordern und Installieren eines Zertifikats damit deutlich.
Per SSH verbunden benötigte ich lediglich drei Befehle, um ein gültiges Zertifikat anzufordern, zu importieren und zu aktivieren. Innerhalb weniger Minuten war das Zertifikat aktiv und auf dem Webserver verfügbar. Allerdings warf der Browser einen Verschlüsselungsfehler aus, wenn ich auf das Blog ging.
Obwohl das grüne Schloss kurz auftauchte, warnte der Browser, dass Daten teilweise unverschlüsselt übertragen wurden. Laut dem SSL-Check von Qualys war das Zertifikat eingebunden und aktiv. Die Lösung kam über die Seite WhyNoPadlock, ein kostenloses Analyse-Tool für SSL-verschlüsselte Webseiten.
Der Fehler entstand durch Bilder, Banner und Fav-Icons, die über unverschlüsselte Verbindungen nachgeladen wurden. Die Fehler lagen weder an Uberspace noch an Let‘s Encrypt, sondern eher am Nutzer: Wordpress und SSL funktionieren nicht rückwirkend, ältere Daten brechen die Verschlüsselung auf.
Die Lösung war ziemlich einfach: Mit Hilfe des Plug-ins Velvet Blue Update URLs konnte ich alle URLs von HTTP auf HTTPS umbiegen. Anschließend wurde jede Seite des Blogs mit korrekter Verschlüsselung ausgeliefert. Möglicherweise geht es ebenso elegant über die .htaccess-Datei, Ich nehmen gerne Feedback oder andere Lösungsvorschläge dazu an.
Zwischenfazit
Let‘s Encrypt ist einfach zu installieren und zu nutzen – und anders als bei selbsterstellten Zertifikaten werfen Browser keine Warnungen aus. Die Werkzeuge sind enorm praktisch, vor allem, wenn sie der Hoster an die eigenen Umgebungen anpasst oder Firmen in die eignen Produkte integrieren (was etwa Synology für die nächste Version seines NAS-Betriebssystems plant).
SSL-Zertifikate sind ein gutes Geschäft für Hoster und Provider, die Preise reichen von kostenlos über günstig bis hin zu ziemlich teuer. Let‘s Encrypt schlägt in diese Bresche und hat das Potential, den Markt für einfache Zertifikate ordentlich durchzuschütteln. Wir haben deswegen bei verschiedenen Anbietern nachgefragt, was sie von Let‘s Encrypt halten, und ob sie ihren Kunden bei der Nutzung zur Seite stehen. Auf der zweiten Seite finden Sie die Antworten.
Das sagen große Anbieter zu Let‘s Encrypt
1&1: „Wir haben es uns zum Ziel gemacht, das Internet sicherer zu machen. Gemeinsam mit dem führenden IT-Sicherheitsanbieter Symantec möchten wir unsere Kunden dabei unterstützen, ihre Webseiten einfach und zuverlässig abzusichern. Aus diesem Grund bieten wir in allen 1&1 Hosting-Paketen die SSL-Verschlüsselung mit Zertifikaten von Symantec als Inklusiv-Leistung an“, erfahren wir von Melanie Schweitzer, PR Manager Hosting.
1Blu: Sprecherin Katja Fricke antwortet uns: „In vielen unserer Produkte (diverse Webhosting-Pakete, vServer, RootServer, ManagedServer) bieten wir bereits seit einigen Jahren kostenlose Inklusiv-Zertifikate für unsere Kunden an. Selbstverständlich können Kunden auf all unseren Paketen mit Root-Zugriff Let‘s Encrypt nutzen. Die Entwicklung von Let‘s Encrypt werden wir im Hinblick auf die Unterstützung auf unseren Shared-Servern gern weiterhin beobachten.“
All-Inkl: „Die Einbindung von Let‘s Encrypt testen wir derzeit, teilweise auch zusammen mit unseren Kunden. Vom Ausgang der Tests hängen dann auch die Entscheidungen über die weiteren Schritte ab“, schreibt Remo Krause, der Leiter Support.
Domainfactory: „Auf dem selbstadministrierten Cloud Server on Demand (JiffyBox) können Kunden Let‘s-Encrypt-Zertifikate selbständig installieren. Bei den Webhosting- und Managed-Server-Lösungen ist ein automatisiertes Einbinden aktuell nicht möglich“, so antwortet uns ebenfalls Gesine Märten. „Derzeit bindet lediglich rund ein Prozent unserer Kunden ein externes Zertifikat wie Let‘s Encrpyt ein. Ein Großteil der Kunden nutzt Zertifikate wie AlphaSSL oder AlphaSSL Wildcard, die bei Domainfactory direkt im Kundenmenü bestellbar sind und automatisiert eingebunden werden. Derzeit liegen im Support kaum Anfragen dazu vor. Daher verfolgen wir die Entwicklungen um Let‘s Encrypt sehr genau und sind dazu auch bereit, im Austausch mit unseren Kunden. Aktuell haben wir jedoch keine Portfolio-Änderung anzukündigen.“
Hetzner: „Es ist in Planung, Let‘s Encrypt für Webhosting und Managed Server zu implementieren. Dies bedeutet, wir sind gerade dabei, die nötigen Schnittstellen zu schaffen, damit Let‘s-Encrypt-Zertifikate einfach über unsere Administrationsoberfläche beantragt werden können“, erfahren wir von Christian Fitz, Head of Marketing. „Ferner werden Scripte implementiert, mit welchen die Zertifikate automatisiert verlängert werden. Ein Einführungsdatum liegt jedoch noch nicht vor. Zum einen sind die Programmierarbeiten noch nicht abgeschlossen. Zum anderen befindet sich Let‘s Encrypt in der Beta Phase und es muss erst beobachtet werden, ob der Dienst verlässlich läuft. Bei Root und V-Server hat der Kunde vollen Rootzugriff und kann jederzeit eigenständig die Let‘s-Encrypt-Schnittstellen implementieren.“
Host Europe: „Auf selbstadministrierten Servern können mit Let‘s Encrypt generierte Zertifikate über einen SSH-Zugang eingebunden werden. Bei den Produkten WebServer und WebServer Dedicated ist die Implementierung über das Kunden-Informations-System (KIS) in eigener Administration möglich. Für Shared-Hosting-Produkte bietet Host Europe aktuell noch keine automatisierte Möglichkeit an, ein entsprechendes, externes Zertifikat zu verwenden,“ so Gesine Märten von Host-Europes-Presseagentur. „Sofern die notwendigen Kenntnisse zur Generierung und Einbindung von SSL-Zertifikaten vorhanden sind, sollte keine Support-Unterstützung notwendig sein. Insgesamt lagen bisher nicht viele Anfragen hierzu vor, sodass es aktuell noch keine verlässlichen Erfahrungswerte gibt. Die Initiative trägt dazu bei, dass mehr Nutzer den Sicherheitsvorteil von SSL-Zertifikaten kennenlernen und dadurch das Sicherheitsniveau im Web generell steigt. Daher begrüßen wir die Entwicklung und beobachten Let‘s Encrypt sehr genau und wohlwollend. Über geplante oder kommende Portfolio-Erweiterungen können wir noch nicht sprechen.“
Strato: „Wir begrüßen Let‘s Encrypt sehr. Es wird dazu beitragen, dass die Datenübertragung durch zunehmende Verschlüsselung im Internet noch sicherer wird. Wir sind gespannt, wie sich Let‘s Encrypt entwickelt und, ob es sich zukünftig in die Welt der großen Shared-Hosting-Plattformen integrieren lässt. Dafür muss es nicht nur so sicher und beständig sein wie Lösungen von etablierten Anbietern, zum Beispiel Symantec, sondern ebenso einfach zu nutzen – am besten per Knopfdruck. Wir werden die Entwicklung von Let‘s Encrypt weiter beobachten. Im Bereich virtueller und dedizierter Server können Kunden selbst entscheiden, ob sie Let‘s Encrypt nutzen“, schreibt Christian Witt, die Leiterin der Strato PR. „Strato-Kunden können Let‘s Encrypt dort installieren, wo sie Root-Rechte haben: auf unseren virtuellen und dedizierten Root-Servern. Wir werden unsere Server-Kunden zukünftig mit Anleitungen im Blog unterstützen.“
Bei unserem Test von Let‘s Encrypt auf einem dedizierten Strato-Server haben wir folgende Punkte festgestellt, die Strato-Kunden beachten sollten:
- Es gibt unserer Kenntnis nach nur einen Let‘s-Encrypt-Client für Linux.
- Aktuell gibt es noch Begrenzungen bei der Anzahl der Zertifikate für eine Domain und/oder IP-Adresse.
United Domains: „Let‘s Encrypt haben wir uns genau angesehen und finden den Ansatz sehr spannend“, schreibt Manuel Schölles, der Presseprecher von United Domains. „Wir werden weiter beobachten, wie sich das Projekt entwickelt. Zurzeit ist Let‘s Encrypt aufgrund der kurzen Gültigkeit der Zertifikate von nur drei Monaten in der Praxis noch nicht akzeptabel für uns.“
Fazit
Wer also ohnehin schon Root-Zugriff auf den Webserver hat, der kann Let‘s Encrypt nach den verfügbaren Anleitungen und Tools leicht installieren. Problematischer wird es, wenn man keinen Root-Zugriff besitzt – die meisten Anbieter lassen den Nutzer dann noch in der Luft hängen, wenige basteln aktiv an Lösungen. Schreiben Sie in jedem Fall Ihren Anbieter an und nerven Sie ruhig ein wenig. Denn dass es durchaus möglich ist, passende Lösungen zu liefern, zeigt etwa Uberspace.
Wie sieht es bei Ihnen aus? Nutzen Sie Let‘s Encrypt, ist der Dienst für Sie nicht brauchbar oder haben Sie andere Erfahrungen für uns? Wir freuen uns über Ihre Kommentare.
(ID:44036791)
:quality(80)/p7i.vogel.de/wcms/f6/af/f6af498e03304233f4dffd7f90d3b445/0109560034.jpeg "Ob On-Premise oder Managed PKI – beide haben ihre Existenzberechtigung. Gerade im Mittelstand bieten Managed PKI Angebote die Chance, Einstiegshürden erheblich zu senken und die Sicherheit im Unternehmen deutlich zu verbessern. (Bild: Andrey - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")