Let's Encrypt: kostenlose SSL-Zertifikate

[Frogman]

So, der Start von Let's Encrypt rückt näher. Jüngst sind die Root- und Internediate-Zertifkate erzeugt worden.

Was ist Let's Encrypt?
Angesichts der immer stärkeren Notwendigkeit nach einer allgemein verfügbaren SSL-Verschlüsselung haben sich die Mozilla Foundation, die Electronic Frontier Foundation, Cisco und dem Hersteller von Cloud-Lösungen Akamai als Hauptsponsoren zu einer neuen Initiative zusammengeschlossen, die mit Hilfe der gemeinnützigen ISRG kostenlose SSL-Zertifikate für all diejenigen anbieten wird, die ihren Server mit einem Class1-Zertifikat für ihre Domain absichern wollen.
Bisher kommen hier ja einige andere Anbieter in Frage (bspw. der israelischen StartCom), wo natürlich immer diskutiert wird, inwieweit diese Root-CA autark gegenüber staatlichen Institutionen ist. Hier soll Let's Encrypt eine neue, offene Alternative bieten.
Ab Mitte diesen Jahres soll der automatisierte Abruf von Zertifikaten starten. Ich werde an dieser Stelle die Infos zum Start und den technischen Abläufen entsprechend nachreichen.

 

[Eldatas]

Das klingt vielversprechend! Ich werde deinen Thread hier im Auge behalten

 

[QTip]

In den FAQ steht nun:

When can I get a certificate from Let’s Encrypt?

Let’s Encrypt will be generally available in September of 2015

 

[Frogman]

Um das genauer einzugrenzen: ab der KW31 (also ab Ende Juli) werden Zertifikate generiert - dann allerdings nur für ausgewählte Domains und noch ohne Quesignierung (d.h. es wird dann noch das letsencrypt-eigene Root-Zertifikat auf den Clients benötigt). Damit sollen Skalierbarkeit, Konfiguration und Verfügbarkeit der Systeme getestet werden. Aber der KW38 (d.h. ab dem 14.September) geht es dann für die Allgmeinheit los, dann auch mit der Quersignatur von IdenTrust, was aufgrund der weiten Verbreitung in Client-Systemen sicherstellt, dass die erzeugten Zertifikate ohne weiteres Zutun auch akzeptiert werden.

 

[Frogman]

In der kommenden Woche werden nun die ersten Zertifikate ausgestellt - zunächst für ausgewählte Domain, wie bereits oben geschrieben. Der allgemeine Start ist weiterhin für die Woche ab dem 14. September angesetzt.
Wer Lust hat, sich bereits vor dem Start etwas warmzulaufen und bspw. mit der Bedienung des Clients vertraut zu machen, findet diesen hier im Git. Eine Anleitung dazu findet sich hier.
Wichtig: damit werden aktuell nur Testzertifikate mit einer Test-CA erstellt. Also nicht in einem produktiven System ausprobieren

 

[tomtom00]

Will den Thread mal updaten. Es gibt Neueigkeiten:
http://www.heise.de/newsticker/meld...on-Let-s-Encrypt-zum-Test-bereit-2814330.html

Wird wohl nicht mehr all zu lange dauern.

 

[Frogman]

So, einer der wichtigsten Schritte zum allgemeinen Start ist getan - ab sofort ist die Cross-Signatur von IdenTrust für die CA von Let's Encrypt gültig, so dass die Zertifikate von Let's Encrypt in allen aktuellen Browsern anerkannt werden (Pressemeldung). In der Woche ab dem 16.11. soll es dann für alle losgehen.

 

[Matthieu]

Ich habe mittlerweile eine Freischaltung für die closed beta. Leider fehlt mir momentan die Zeit dafür, denn man müsste den Client portieren auf die DS. Das ist ja der eigentliche Clou dahinter: Es ist total einfach zu handhaben mit dem passenden Client.

MfG Matthieu

 

[DKeppi]

Bin ein totaler Laie was Zertifikate angeht, aber ich habs mal auf der Syno in einer Debian VM installiert und Zertifikate für meine Domain erstellt.
Wichtig war das man den https Port 443 öffnet, da die Erstellung sonst nicht funktionierte.

Die Zertifikate habe ich dann in die Syno importiert!
Fremdzertifikat, gültig bis 2.2.2016 und meine Domain wird korrekt angezeigt.

Sollte das grundsätzlich dann so klappen?

PS.: Komme jetzt leider per VPN nicht mehr hin, kann also erst zuhause weitere Tests machen!

 

[Frogman]

Sollte das grundsätzlich dann so klappen?

Der Client automatisiert - wenn er denn konfiguriert ist - den ganzen Vorgang. Oben hatte ich ja schon den Link auf das Manual des Clients gepostet. Hier gibt's noch ein Video, in dem das Ganze etwas erläutert wird.

 

[melo]

Hey DKeppi,

kannst du bitte beschreiben, wie du den let's encrypt client verwendet hast, um deine Zertifikate zu bekommen?

Ich nehme an, dass du den manual mode des clients verwendet hast, denn soweit ich weiß ist dies der einzige Modus, welcher dafür gedacht ist, den Client auf einem anderen System als auf dem für welches die Zertifikate angefordert werden auszuführen.
Da es zum manual mode aber leider überhaupt keine Doku gibt, wäre ich für eine Beschreibung wie du es angestellt hast dankbar =)

@Matthieu: Ich hätte hier grundsätzlich Interesse bei der Portierung mitzuhelfen (oder es zumindest zu versuchen).

 

[DKeppi]

Habe folgendes gemacht:

git clone https://github.com/letsencrypt/letsencrypt

 cd letsencrypt

Und dann folgendes ausgeführt (stand so im Mail drinnen das ich bekommen habe):

./letsencrypt-auto --agree-dev-preview --server https://acme-v01.api.letsencrypt.org/directory auth

Aber wie gesagt, ich habe NULL Ahnung...

Ich denke man muss womöglich das csr der Syno vorher noch gegen das vorhande tauschen!?

 

[jahlives]

leider haben sie mit der aktuellen Beta noch ihre Probleme (https://github.com/letsencrypt/letsencrypt/wiki/Known-issues#users). Der Bug 2. scheint bei vielen u.A. auch bei mir ein Problem zu sein. Ein Fix ist in Arbeit

 

[DKeppi]

Hab da was gefunden bzgl. Synology:
https://community.letsencrypt.org/t/synology-nas-using-le-as-a-ca-signing-authority/453/10

 

[melo]

Hab da was gefunden bzgl. Synology:
https://community.letsencrypt.org/t/synology-nas-using-le-as-a-ca-signing-authority/453/10

Vielen Dank fürs teilen! Sehr guter Fund. Werde ich direkt so ausprobieren und versuchen es zu dokumentieren, im Idealfall als Blogpost, sofern ich bis dahin einen Blog aufgesetzt habe... ^^

 

[Joesix]

Das klingt ja alles recht vielversprechend. Es sieht aber für mich so aus als wenn die gesamte Überprüfung nur via Web-Server durchgeführt wird. Hat irgendjemand eine Ahnung wie das ganze bei Multi-Domain Zertifikaten laufen soll?

Can I get a certificate for multiple domain names?

Yes, the same certificate can apply to several different names using the Subject Alternative Name (SAN) mechanism. The Let's Encrypt client automatically requests certificates for multiple names when requested to do so. The resulting certificates will be accepted by browsers for any of the domain names listed in them.

Ich nutze gerne virtuelle Hosts und somit hat meine DS auf Seiten des Web-Servers doch deutlich mehr als nur einen FQDN.

 

[Frogman]

... Hat irgendjemand eine Ahnung wie das ganze bei Multi-Domain Zertifikaten laufen soll?

Ich nehme an, genauso - über die entsprechende Datei, die von jeder Domain abrufbar sein muss.

 

[Joesix]

Oha, das wird ja spassig werden. Bei mir ist z.B. die Notestation auf Port 443 via Reverse Proxy erreichbar. Da werd ich wohl mal suchen müssen...

 

[DKeppi]

Ich bekomms nicht hin, erhalte immer folgende Fehlermeldung:



Wenn ich meine Domain pinge wird sie richtig aufgelöst...

Was kann das Problem sein?

 

[Matthieu]

Was kann das Problem sein?

Portfreigabe Port 80 vorhanden?

MfG Matthieu