Error: no file object

Sicherheit durch SSL-Zertifikate mit Let‘s Encrypt

Ist für Ihre Domain ein SSL-Zertifikat ausgestellt, dann kann die Website über eine verschlüsselte Verbindung über „https://“ aufgerufen werden. Diese Funktionalität wird für jeden Website-Betreiber – Kleinunternehmer, Mittelsatnds-Unternehmer, Selbständige, Privatpersonen, Institutionen etc. - notwendig, sobald Sie

  • einen Online-Shop betreiben und Online-Bestellungen akzeptieren.

  • Formular-Daten übertragen wollen.

  • sensible Daten wie Adressen, Namen, Bankverbindung etc. verwalten bzw. übertragen wollen.

Sie gewinnen in jedem Fall zusammen mit IT-LINUXMAKER und Let‘s Encrypt mehr

  • Sicherheit durch Authentifizierung:
    SSL macht klar mit wem auf der Gegenseite kommuniziert wird. Dies bringt Ihnen einen wesentlichen Sicherheitsvorteil.

  • Sicherheit durch Verschlüsselung:
    Ihre Daten werden verschlüsselt, als Buchstabensalat, zwischen Browser und Webserver ausgetauscht.

  • Vertrauen:
    Ein SSL-Zertifikat garantiert Ihnen, dass der Browser Ihre Website als sicher einstuft und so anzeigt. Dies bringt Ihnen Vertrauen bei Ihren Nutzern.

  • SEO-Optimierung:
    Die Datenverschlüsselung ist ein relevanter Rankingfaktor für Suchmaschinen. Mit einem SSL-Zertifikat listen Suchmaschinen Ihre Website somit weiter oben.

Let’s Encrypt ist eine Zertifizierungsstelle, die kostenlose X.509-Zertifikate für Transport Layer Security (TLS) anbietet. Dabei ersetzt ein automatisierter Prozess die bisher gängigen komplexen händischen Vorgänge bei der Erstellung, Validierung, Signierung, Einrichtung und Erneuerung von Zertifikaten für verschlüsselte Websites.

Ziel des Projekts ist es, verschlüsselte Verbindungen im Internet zum Regelfall zu machen. Indem unter anderem die Zahlung, dei Webserverkonfiguration, Validierungs-Mails und die Sorge um abgelaufene Zertifikate überflüssig werden, sollen der Aufwand für Einrichtung und Pflege von TLS-Verschlüsselung deutlich gesenkt werden. Auf einem Linux-Webserver soll das Ausführen von nur zwei Befehlen genügen, um binnen 20 bis 30 Sekunden HTTPS-Verschlüsselung einzurichten, Zertifikate anzufordern und zu installieren.

Let’s Encrypt besitzt ein RSA-Stammzertifikat, das in einem Hardware-Sicherheitsmodul verwahrt und nicht direkt verwendet wird. Es soll im dritten Quartal 2019 durch ein ECDSA-Stammzertifikat ergänzt werden. Damit werden mehrere Zwischenzertifikate signiert, welche durch die Zertifizierungsstelle IdenTrust gegengezeichnet werden. Eines davon dient dann zur Signierung der ausgestellten Zertifikate, die anderen als Ersatz bei Problemen mit dem ersten. Durch die IdenTrust-Signatur können die ausgestellten Zertifikate in gebräuchlichen Webbrowsern über die vorinstallierten Stammzertifizierungsstellen geprüft werden. So werden Let’s-Encrypt-Zertifikate auf Client-Seite von Anfang an in der Regel ohne weiteres akzeptiert. Seit Ende Juli 2018 ist das Stammzertifikat von Let's Encrypt in allen wichtigen Root-Programmen vertreten

Zur Automatisierung der Zertifizierung nutzt Let's Encrypt das Challenge-Response-Verfahren Automatic Certificate Management Environment (ACME). Dabei werden verschiedene Anfragen entweder an Unterseiten am Webserver oder direkt DNS-Anfragen an die zu zertifizierende Domain gestellt. In beiden Fällen wird ein vorher von Let’s Encrypt erstellter Token entweder auf einer speziellen Unterseite am Web-Server oder als TXT Resource Record im DNS der betreffenden Domain öffentlich abgelegt und von Let’s Encrypt-Server in Folge abgefragt. Anhand der Antwort mit den Token wird sichergestellt, dass der Antragsteller den Web-Server oder direkt den Nameserver und die damit verknüpfte Domain kontrolliert (domain validation).

Auf dem Server-System müssen diese Anfragen korrekt beantwortet werden. Dazu bietet das Protokoll verschiedene Möglichkeiten. Bei einer wird dazu von der ACME-Client-Software ein besonders konfigurierter TLS-Server eingerichtet, der mittels Server Name Indication auf besondere Anfragen der Zertifizierungsstelle antwortet (Domain-Validierung mittels Server Name Indication, DVSNI). Dieses Verfahren wird allerdings nur für eine erste Zertifikatsausstellung für eine Domain akzeptiert (sogenanntes „trust on first use“, TOFU). Danach kommt die alternative Validierung über ein bestehendes Zertifikat zum Einsatz. Bei Verlust der Kontrolle über ein bereits ausgestelltes Zertifikat muss daher ein Zertifikat von einem Drittanbieter erworben werden, um wieder ein Let’s-Encrypt-Zertifikat zu erhalten.
Die Validierungsverfahren werden mehrmals über verschiedene Netzwerkpfade durchgeführt. Zur Erschwerung von DNS-Spoofing ist die Prüfung von DNS-Einträgen von mehreren geographisch verteilten Standpunkten aus vorgesehen.

Technische Details

IT-LINUXMAKER setzt grundsätzlich bei all seinen Mail-Servern als TLS-Zertifikate und bei den Web-Server-Konfigurationen für SSL die von Let's Encrypt zur Verfügung gestellte Technik ein. Im Prinzip genügen zur Zertifikatgenerierung extra für den Apache-Server zur Verfügung gestellte Befehle, um nahzu automatisiert die SSL-Zertifikate für die gewünschten Domains zu erstellen. Dabei ist es auch möglich, einem Zertifikat mehrere Hosts oder Subdomains hinzu zufügen. Richtig konfiguriete Systemtools unter Linux sorgen dann dafür, dass die SSL-Zertifikate alle 90 Tage - so lange ist die Gültigkeit eines von Let's Encrypt ausgestellten Zertifikates - automatisch neuerstellt werden kann.


IT-Service und IT-Beratung

Die Digitalisierung des Geschäftslebens, wesentlicher Produktionsprozesse und des Privatlebens ist in vollem Gange. Gleichzeitig nehmen die Bedrohungen durch Serverausfälle, Viren und Cyberkriminalität zu. Verstärkt wird das Ganze durch die Vernachlässigung der IT-Security sowohl im privaten Umfeld als auch in der Geschäftswelt. Wirklich notwendige Schutzmechanismen werden meistens erst dann in Erwägung gezogen, wenn bereits der Schaden entstanden ist und die Wiederherstellung der IT-Infrastruktur Unsummen an Kosten verursacht hat.
Linux bietet Ihnen bereits von Grund auf die sichere Basis in Ihrer IT-Infrastruktur. Einerseits, weil es schon immer als ein auf den Netzwerkbetrieb ausgerichtetes Betriebssystem konzeptioniert wurde. Andererseits, weil die freie Verfügbarkeit des Source-Code die Möglichkeit von schadhaft oder zweckentfremdet programmierter Funktionen nahezu unmöglich macht. Zusätzlich bedeutet „Open Source“ seit eh her eine permanente Verbesserung durch innovative Spezialisten aus aller Welt. Inzwischen vertrauen immer mehr Anwender Linux, das unter Anderem den Kernel für die zahlreichen Android-Installationen liefert, so auch Unternehmen respektive Instutionen wie Siemens, BMW, Lufthansa, Deutsche Post AG, Greenpeace und staatliche Institutionen inklusive des Bundesbeauftragten für Datenschutz.
Sie sind ein Unternehmen, ein mittelständisches Unternehmen, ein Handwerksbetrieb, ein Einzelunternehmer mit der entsprechenden IT-Infrastruktur und Sie möchten Ihre Kunden mit Ihren Produkten umfassend zufriedenstellen. Oder Sie sind eine Privatperson mit entsprechenden Supportwünschen. Ihre IT-Infrastruktur soll zuverlässig rund um die Uhr funktionieren. IT-LINUXMAKER kann als Experte auf diesem Gebiet Ihre Informationen effektiv und schnell schützen. Mit den Services von IT-LINUXMAKER sichern Sie sich Ihren Wettbewerbsvorteil durch die Stabilität Ihrer IT-Infrastruktur und Ihrer Daten.

Die Supportverträge von IT-LINUXMAKER sind das optimale Plus Ihrer IT- oder Entwicklungs-Abteilung. IT-LINUXMAKER unterstützt Sie in allen Situationen im Themenumfeld von Linux bei der Aministration, dem Monitoring, der Konfiguration, Fehlerbehebung und bei der Script-Programmierung. Wo Ihre IT-Infrastruktur steht, wie groß sie ist oder wie viele Anwender in ihr arbeiten spielt für IT-LINUXMAKER keine Rolle.