Allgemein

• Let’s Encrypt ist eine Zertifizierungsstelle, die Ende 2015 in Betrieb gegangen ist und kostenlose X.509-Zertifikate für Transport Layer Security (TLS) anbietet.
• Die Zertifikate haben eine Gültigkeit von jeweils 90 Tagen und können manuell oder automatisch erneuert werden.
• Dabei ersetzt ein automatisierter Prozess die bisher gängigen komplexen händischen Vorgänge
• Dies umfasst die Erstellung, Validierung, Signierung, Einrichtung und Erneuerung von Zertifikaten für verschlüsselte Websites.

Protokoll

• Zur Automatisierung der Zertifizierung nutzt Let’s Encrypt das Challenge-Response-Verfahren Automatic Certificate Management Environment (ACME).
• Dabei werden verschiedene Anfragen entweder an Unterseiten am Webserver oder direkt DNS-Anfragen an die zu zertifizierende Domain gestellt.
• Es gibt 2 Verfahren
  • Es wird eine erstellter Token auf einer speziellen Unterseite am Web-Server abgelegt
  • Es wird eine TXT erstellter Token auf Resource Record im DNS der betreffenden Domain öffentlich abgelegt
• in beiden Fällen wird dieser Token von den Let’s-Encrypt-Servern in Folge abgefragt.
• Anhand der Antwort mit den Token wird sichergestellt, dass der Antragsteller den Web-Server oder direkt den Nameserver und die damit verknüpfte Domain kontrolliert.

Funktionsweise

• Anfrage nach einem Zertifikat
• Man bekommt einen Token von Letsencrypt
• Man legt den Token an die vorgesehene Stelle ab
• Letsencrypt prüft ob der Token korrekt ist.
• Generierung eines Privaten Schlüssel
• Zertifikatsanfrage stellen
• Letencrypt stellt Zertifikat aus und überträgt es.
• Einbauen des Zertifikates
• Neustarten der betroffenen Dienste