sicherheit der verarbeitung aufsichtsbehörden datenschutz-folgenabschätzung dsfa office365 widerspruchsrecht 21 betriebsrat

Let’s Encrypt: https-Verschlüsselung einfach gemacht

/von

Auf nahezu jeder geschäftlich genutzten Webseite finden sich Formulare, beispielsweise zur Kontaktaufnahme oder für ein Newsletter-Abonnement. Werden die eingegebenen Daten zwischen Browser und Webserver übermittelt, müssen diese verschlüsselt werden, um eine ungewollte Kenntnisnahme durch Dritte zu verhindern. Hierfür kommt das https-Protokoll zum Einsatz. Dieses basiert auf dem Einsatz von entsprechenden Zertifikaten für die es im Internet zahlreiche Anbieter gibt.

Durch die Überprüfung des Webserver-Zertifikats durch den Browser kann sichergestellt werden, dass sich „auf der anderen Seite der Leitung“ tatsächlich der gewünschte Webserver befindet. Ebenso wird ausgeschlossen, dass die übertragenen Daten auf dem Weg verfälscht wurden. Zugrunde liegt dem Ganzen ein Vertrauens-Modell. Das heißt, dass jedes Verschlüsselungs-Zertifikat von einem vertrauenswürdigen Aussteller („Certificate Authority“, CA) „beglaubigt“ (signiert) werden muss. Damit ein Browser dies nun  überprüfen kann, müssen diesem die CA bekannt sein. Das wird erreicht, indem ihm die Signaturen der Zertifikate der CA bekannt gemacht werden.

Diese Liste der CA wurde für die am meisten verbreiteten Browser in der Vergangenheit um eine neue CA erweitert: Die Initiative „Let’s Encrypt„.

Das besondere an Let’s Encrypt ist, dass es sich erstmals nicht um ein Unternehmen mit Profitabsicht handelt, welches für den relativ leicht automatisierbaren Vorgang des Signierens von Zertifikaten bezahlen lässt. Vielmehr ist Let’s Encrypt ein Projekt der Internet Security Research Group (ISRG), einer US-amerikanischen gemeinnützigen Organisation.

Let’s Encrypt gibt domainvalidierte SSL-Zertifikate kostenlos und ohne Gewinnerzielungsabsicht ab. Das ist erfreulich, wäre aber nicht wirklich als Alleinstellungsmerkmal tauglich. Was Let’s Encrypt von allen anderen bislang am Markt tätigen CA unterscheidet ist der Weg, auf dem das Zertifikat auf den Webserver kommt. Dieses passiert nämlich nach der Ersteinrichtung – auf unterstützten Plattformen – vollautomatisch.

Ein Prozess, der auf dem Server läuft, auf dem auch der Webserver betrieben wird (oder darauf Zugriff hat) fordert ein Zertifikat bei Let’s Encrypt an, lädt dieses herunter und tauscht ein ggf. vorhandenes altes gegen das neue Zertifikat aus. Das Zertifikat wird also vollautomatisch auf dem Webserver installiert. Rechtzeitig zum Ablauf des Zertifikats wird der Vorgang von neuem gestartet, so dass es nicht mehr notwendig ist, die Laufzeiten der Zertifikate zu überwachen.

Neben Kosteneinsparungen durch die kostenfreien Zertifikate haben Unternehmen also weitere Einsparungen, da die Administratoren sich nicht mehr um die SSL-Zertifikate ihrer Webserver kümmern müssen.

Ein Punkt, der häufig zu Kritik führt, ist die Gültigkeitsdauer der ausgegebenen Zertifikate. Sie beträgt derzeit 90 Tage. Auf den bislang üblichen Wegen der Zertifikatsvergabe und -installation neigen Administratoren dazu, möglichst lange Gültigkeitsdauern für SSL-Zertifikate zu bevorzugen. Da bei Let’s Encrypt der gesamte Bestell- und Installationsvorgang automatisiert ist, führen kürzere Gütltigkeitsdauern aber nicht mehr zu erhöhten Aufwänden. Schließlich ist ein neues Zertifikat nur „einen Klick weit entfernt“. Vor diesem Hintergrund erhöht eine kurze Gültigkeitsdauer die Sicherheit. Wird wirklich mal ein Zertifikat kompromittiert, so läuft es maximal 90 Tage, bis es abläuft und automatisch durch ein neues ersetzt wird. Vor diesem Hintergrund könnte man die Gültigkeitsdauer sogar noch reduzieren und Let’s Encrypt hat genau das auch bereits für die Zukunft angekündigt.

Insgesamt ist Let’s Encrypt zum jetzigen Zeitpunkt eine für kleinere Internetauftritte sehr interessante Alternative zu den etablierten Anbietern von SSL-Zertifikaten. Sollten zukünftig auch Zertifikate mit Extended Validation ausgegeben werden (das sind die, bei denen im Browser mit grüner Adresszeile signalisiert wird, dass der Server vertrauenswürdig ist), dürfte Let’s Encrypt auch für die großen Konzerne oder für Banken interessant werden.

Möchten Sie Ihren Webserver datenschutzkonform konfigurieren? Sprechen Sie mich an!

Das könnte Sie auch interessieren
aufsichtsbehörden dsk datenschutzkonferenz entschließung göttinger erklärung kündigungsschutz datenschutzbeauftragter verzeichnis verarbeitungstätigkeiten vvt vertrag 61bVerfahrensverzeichnis vs. Verzeichnis der Verarbeitungen
sicherheit der verarbeitung aufsichtsbehörden datenschutz-folgenabschätzung dsfa office365 widerspruchsrecht 21 betriebsratSichtweisen der Aufsichtsbehörden zu Tracking Tools und DSGVO
ds-gvo adv auftragsverarbeitung backups löschenAuftragsdatenverarbeitung unter der DSGVO im Vergleich zum BDSG
ds-gvo datenschutzbeauftragter vorabkontrolle beratung verpflichtung datengeheimnis active sourcing einwilligung gemeinsam verantwortliche verpflichtung datengeheimnis vertraulichkeit rechtsgrundlage foto erhebung auskunft art. 15 dsgvoSerie Betroffenenrechte: Das Recht auf Auskunft nach Art. 15 DSGVO
facebook gemeinsame verantwortlichkeit 26 dsgvoSind Facebook-Fanpages wieder datenschutzkonform einsetzbar?
standard-datenschutzmodell datenschutz-folgenabschätzung datenübermittlung ausland prüfung dsms datenschutzmanagementsystem dsfa zertifizierung forschung zweckänderung prüfung fragebogenDatenschutz-Zertifizierungen nach der DS-GVO
Verfahrensverzeichnis vs. Verzeichnis der Verarbeitungenaufsichtsbehörden dsk datenschutzkonferenz entschließung göttinger erklärung kündigungsschutz datenschutzbeauftragter verzeichnis verarbeitungstätigkeiten vvt vertrag 61beu-dsgvo europa datenschutz-grundverordnung arbeitnehmerdatenschutz privacy shield safe harbor eprivacy verordnung dsgvo epvo brexit angemessenheitsbeschluss uk einwilligung newsletter werbung soft opt-inAuftragsdatenverarbeitung unter der DSGVO