sicherheit der verarbeitung aufsichtsbehörden datenschutz-folgenabschätzung dsfa office365 widerspruchsrecht 21

Let’s Encrypt: https-Verschlüsselung einfach gemacht

/von

Auf nahezu jeder geschäftlich genutzten Webseite finden sich Formulare, beispielsweise zur Kontaktaufnahme oder für ein Newsletter-Abonnement. Werden die eingegebenen Daten zwischen Browser und Webserver übermittelt, müssen diese verschlüsselt werden, um eine ungewollte Kenntnisnahme durch Dritte zu verhindern. Hierfür kommt das https-Protokoll zum Einsatz. Dieses basiert auf dem Einsatz von entsprechenden Zertifikaten für die es im Internet zahlreiche Anbieter gibt.

Durch die Überprüfung des Webserver-Zertifikats durch den Browser kann sichergestellt werden, dass sich “auf der anderen Seite der Leitung” tatsächlich der gewünschte Webserver befindet. Ebenso wird ausgeschlossen, dass die übertragenen Daten auf dem Weg verfälscht wurden. Zugrunde liegt dem Ganzen ein Vertrauens-Modell. Das heißt, dass jedes Verschlüsselungs-Zertifikat von einem vertrauenswürdigen Aussteller (“Certificate Authority”, CA) “beglaubigt” (signiert) werden muss. Damit ein Browser dies nun  überprüfen kann, müssen diesem die CA bekannt sein. Das wird erreicht, indem ihm die Signaturen der Zertifikate der CA bekannt gemacht werden.

Diese Liste der CA wurde für die am meisten verbreiteten Browser in der Vergangenheit um eine neue CA erweitert: Die Initiative “Let’s Encrypt“.

Das besondere an Let’s Encrypt ist, dass es sich erstmals nicht um ein Unternehmen mit Profitabsicht handelt, welches für den relativ leicht automatisierbaren Vorgang des Signierens von Zertifikaten bezahlen lässt. Vielmehr ist Let’s Encrypt ein Projekt der Internet Security Research Group (ISRG), einer US-amerikanischen gemeinnützigen Organisation.

Let’s Encrypt gibt domainvalidierte SSL-Zertifikate kostenlos und ohne Gewinnerzielungsabsicht ab. Das ist erfreulich, wäre aber nicht wirklich als Alleinstellungsmerkmal tauglich. Was Let’s Encrypt von allen anderen bislang am Markt tätigen CA unterscheidet ist der Weg, auf dem das Zertifikat auf den Webserver kommt. Dieses passiert nämlich nach der Ersteinrichtung – auf unterstützten Plattformen – vollautomatisch.

Ein Prozess, der auf dem Server läuft, auf dem auch der Webserver betrieben wird (oder darauf Zugriff hat) fordert ein Zertifikat bei Let’s Encrypt an, lädt dieses herunter und tauscht ein ggf. vorhandenes altes gegen das neue Zertifikat aus. Das Zertifikat wird also vollautomatisch auf dem Webserver installiert. Rechtzeitig zum Ablauf des Zertifikats wird der Vorgang von neuem gestartet, so dass es nicht mehr notwendig ist, die Laufzeiten der Zertifikate zu überwachen.

Neben Kosteneinsparungen durch die kostenfreien Zertifikate haben Unternehmen also weitere Einsparungen, da die Administratoren sich nicht mehr um die SSL-Zertifikate ihrer Webserver kümmern müssen.

Ein Punkt, der häufig zu Kritik führt, ist die Gültigkeitsdauer der ausgegebenen Zertifikate. Sie beträgt derzeit 90 Tage. Auf den bislang üblichen Wegen der Zertifikatsvergabe und -installation neigen Administratoren dazu, möglichst lange Gültigkeitsdauern für SSL-Zertifikate zu bevorzugen. Da bei Let’s Encrypt der gesamte Bestell- und Installationsvorgang automatisiert ist, führen kürzere Gütltigkeitsdauern aber nicht mehr zu erhöhten Aufwänden. Schließlich ist ein neues Zertifikat nur “einen Klick weit entfernt”. Vor diesem Hintergrund erhöht eine kurze Gültigkeitsdauer die Sicherheit. Wird wirklich mal ein Zertifikat kompromittiert, so läuft es maximal 90 Tage, bis es abläuft und automatisch durch ein neues ersetzt wird. Vor diesem Hintergrund könnte man die Gültigkeitsdauer sogar noch reduzieren und Let’s Encrypt hat genau das auch bereits für die Zukunft angekündigt.

Insgesamt ist Let’s Encrypt zum jetzigen Zeitpunkt eine für kleinere Internetauftritte sehr interessante Alternative zu den etablierten Anbietern von SSL-Zertifikaten. Sollten zukünftig auch Zertifikate mit Extended Validation ausgegeben werden (das sind die, bei denen im Browser mit grüner Adresszeile signalisiert wird, dass der Server vertrauenswürdig ist), dürfte Let’s Encrypt auch für die großen Konzerne oder für Banken interessant werden.

Möchten Sie Ihren Webserver datenschutzkonform konfigurieren? Sprechen Sie mich an!


Diesen Beitrag teilen

Das könnte Dich auch interessieren
telefax kopieTelefax-Versand: Ein (generelles) Datenschutzproblem und Risiko?
standard-datenschutzmodell datenschutz-folgenabschätzung datenübermittlung ausland prüfung dsms datenschutzmanagementsystem dsfa zertifizierung forschung zweckänderung prüfung fragebogenAufsichtsbehörden prüfen Datenübermittlungen ins Ausland
berechtigtes interesse 6 1 f dsgvo bundesgerichtshof bgh eugh europäischer gerichtshof privacyshield gericht bußgeld 1&1 risiko bgh auskunftsrecht lag sachsen olg münchen schadenersatz google fonts eugh löschbegehren sicherheit e-mail auskunft frist unverzüglichSerie Rechtsgrundlagen: Das berechtigte Interesse nach Art. 6 Abs. 1 lit. f DSGVO
home office telearbeit mobiles arbeiten videokonferenz datenschutzhinweise webseiteVideokonferenzsysteme – sind die Vorgaben des Datenschutzes erfüllt?
gesetz rechtliche verpflichtung double opt in schrems standardvertragsklauseln scc c2p einwilligung drittstaaten transfersSerie zu den neuen Standardvertragsklauseln – Datenübermittlung vom Auftragsverarbeiter an einen Verantwortlichen (P2C)
e-mail verschlüsselung s/mime pgp nutzung kontaktdatenÄnderung der BORA – unverschlüsselte Kommunikation per E-Mail für Rechtsanwälte