Wie können wir Ihnen helfen?
< Alle Themen
Drucken

Wie funktioniert Let’s Encrypt?

Für die Ausstellung von gültigen domainvalidierten SSL-Zertifikaten wird in der Regel zwingend eine Zertifizierungsstelle, die den Besitz einer (Sub-)Domain überprüfen kann, gebraucht. Nur so kann verhindert werden, dass sich Fremde Zertifikate für Domains ausstellen, die ihnen überhaupt nicht gehören. Im Hintergrund mussten also verschiedene Überprüfungen stattfinden, die bisher aber nur manuell bzw. teilautomatisiert (z.B. über eine Bestätigungs-E-Mail an den Webmaster) vorgenommen wurden. Mithilfe des Protokolls ACME, welches ebenfalls vom LE-Projekt entwickelt wurde, besteht nun die Möglichkeit, Domains komplett automatisiert zu überprüfen. Dieser Prozess geschieht innerhalb von wenigen Sekunden.

Im Hintergrund erstellt der ACME-Client eine Zertifikatsanfrage und schickt diese an den ACME-Server. Zur Bestätigung des Domainbesitzes müssen in einem bestimmten Unterverzeichnis des Webservers Dateien mit einem bestimmten Inhalt hinterlegt werden (Challenge-Dateien). Der ACME-Server überprüft daraufhin, ob die Dateien unter den jeweiligen Domains erreichbar sind und der Inhalt korrekt ist. Wenn das der Fall ist, ist der Domainbesitz bestätigt und die Zertifikate werden ausgestellt.

Alternativ bietet LE auch noch die Validierung über DNS-Einträge an, was aber sehr aufwendig ist und nur in Ausnahmefällen benutzt werden sollte.

Schlagwörter:
Inhaltsverzeichnis