Was ist Letsencrypt
Zur Navigation springen
Zur Suche springen
Allgemein
- Let’s Encrypt ist eine Zertifizierungsstelle, die Ende 2015 in Betrieb gegangen ist und kostenlose X.509-Zertifikate für Transport Layer Security (TLS) anbietet.
- Die Zertifikate haben eine Gültigkeit von jeweils 90 Tagen und können manuell oder automatisch erneuert werden.
- Dabei ersetzt ein automatisierter Prozess die bisher gängigen komplexen händischen Vorgänge
- Dies umfasst die Erstellung, Validierung, Signierung, Einrichtung und Erneuerung von Zertifikaten für verschlüsselte Websites.
Protokoll
- Zur Automatisierung der Zertifizierung nutzt Let’s Encrypt das Challenge-Response-Verfahren Automatic Certificate Management Environment (ACME).
- Dabei werden verschiedene Anfragen entweder an Unterseiten am Webserver oder direkt DNS-Anfragen an die zu zertifizierende Domain gestellt.
- Es gibt 2 Verfahren
- Es wird eine erstellter Token auf einer speziellen Unterseite am Web-Server abgelegt
- Es wird eine TXT erstellter Token auf Resource Record im DNS der betreffenden Domain öffentlich abgelegt
- in beiden Fällen wird dieser Token von den Let’s-Encrypt-Servern in Folge abgefragt.
- Anhand der Antwort mit den Token wird sichergestellt, dass der Antragsteller den Web-Server oder direkt den Nameserver und die damit verknüpfte Domain kontrolliert.
Funktionsweise
- Anfrage nach einem Zertifikat
- Man bekommt einen Token von Letsencrypt
- Man legt den Token an die vorgesehene Stelle ab
- Letsencrypt prüft ob der Token korrekt ist.
- Generierung eines Privaten Schlüssel
- Zertifikatsanfrage stellen
- Letencrypt stellt Zertifikat aus und überträgt es.
- Einbauen des Zertifikates
- Neustarten der betroffenen Dienste