Seit dem 3. Dezember 2015 befindet sich das Projekt Let’s Encrypt in der öffentlichen Beta Phase. Das Projekt hat sich zum Ziel gesetzt, möglichst viele Webseiten auf SSL umzustellen. Dafür werden kostenlos kurzlebige Server-Zertifikate automatisch bereitgestellt. Hinter der Kampagne steht die Internet Security Research Group (ISRG), die von großen non-profit und kommerziellen Organisationen finanziell unterstützt wird. Zu den bekanntesten Sponsoren gehören die Mozilla Foundation, Cisco, Akamai, Electronic Frontier Foundation, Google, Facebook und viele andere bekannte Namen.
Der große Vorteil von Let’s Encrypt Zertifikaten im Vergleich zu herkömmlichen durch eine CA ausgestellte Zertifikate ist die Einfachheit. Es muss kein Zertifikat beantragt und auf den Server übertragen werden. Dies geschieht vollautomatisch. Daher ist es auch möglich die Gültigkeit der Zertifikate recht kurz zu halten. Ein klassisches Zertifikat gilt in der Regel ein Jahr und muss dann manuell ersetzt werden. Zudem ist Let’s Encrypt kostenlos und daher auch für Betreiber einer kleinen privaten Webseite erschwinglich.
Zur Verwendung von Let’s Encrypt auf dem eigenen Webserver gibt es einen Client, der als Paket in die jeweilige Linux Distribution installiert wird. Dezeit gibt es das Paket für RedHat/CentOS. Weitere werden folgen.
Funktionsweise
Das Prinzip beruht darauf, das der Agent auf dem Webserver ein Zertifikat für seine eigene Domain beantragt. Um sicherzustellen, dass der Antragsteller dazu berechtigt ist, stellt ihm die Let’s Encrypt CA einige Aufgaben, die nur zu bewältigen sind, wenn Zugriff auf die Domain des Webservers besteht.
Plesk
Mit der Integration des Let’s Encrypt Paketes in Plesk 12.5 wird das ganze für den Webserver Verwalter zum Kinderspiel.
Zunächst wird die Odin Verwaltungsoberfläche aufgerufen (früher Plesk Panel). In der linken Spalte selektiert man “Erweiterungen”.
Im Hauptfenster “Katalog der Erweiterungen” sucht man das Let’s Encrypt Paket und wählt “Installieren”. Im Beispiel unten ist es schon installiert und der Status wird angezeigt.
Danach kann der Agent auf mehreren Domains auf dem Webserver aktiviert werden. Dazu wählt man in der Navigationsleiste “Domains”.
Im Hauptfenster selektiert man den gewünschten Domain Namen und sieht nun unter den verfügbaren Anwendungen eine Let’s Encrypt App.
Klickt man auf den Link der App muss man im Dialog nur noch das Install Feld auswählen – Fertig! Wahlweise gilt das Zertifikat dann für https://mydomain.com und https://www.mydomain.com. An der gleichen Stelle lassen sich auch Zertifikate manuell erneuern. Das ist normalerweise nicht notwendig, da der Prozess automatisiert ist.
Das Ergebnis
Die Webseite wird mit dem Zertifikat geschützt und dieses Wird von den gängigen Browsern als sicher akzeptiert (Chrome, Firefox, IE)
Ich nutze selbst Letsencrypt auch für meine eigenen Projekte mit Erfolg. Es ist sehr empfehlenswert, kostenlose Zertifikate zu verwenden, heute habe ich eine Mail bekommen in der steht, dass die Zertifikate erneuert werden sollten, ansonsten würden Fehler auftauchen. Wie auf dem letzten Bild hier zu sehen, erneuert man diese, indem man auf Letsencrypt bei der jeweiligen Domain klickt und dann auf “Erneuern” klickt.
Hallo Vicky
Nach meiner Erfahrung aktualisiert sich das Zertifikat selbst. Ich habe zwar auch Mails erhalten, die vor einem Ablauf warnten, aber es war keine Aktion meinerseits notwendig. D.h. das mit dem Paket installierte Updateskript hat pünktlich vor Ablauf seinen Job gemacht. Die Zertifikate sind für weitere drei Monate gültig. In Zukunft soll die Dauer der Gültigkeit reduziert werden. Was aber bei Automatisierung kein Problem darstellen würde.
Guten Tag,
ich habe das wie beschrieben getan, soweit funktioniert das auch. Ich habe ein Zertifikat für die Absicherung von Plesk eingebunden, jedoch wird bei Emails der angelegten Domains noch immer das Standard Zertifikat von Plesk für SSL verwendet. Wie schaffe ich es, dass das Zertifikat auch für IMAP / SMTP verwendet wird?
Vielen Dank!
Die von diversen Hostern angebotenen Webserver Erweiterungen für letsencrypt mit Odin/Plesk eignen sich meines Wissens nur für den Webserver. Wenn man das Mail Frontend verschlüsseln will, ist noch Handarbeit gefragt.
Ich habe dazu einen Link gefunden. Vielleicht hilft das etwas weiter.
https://kofler.info/lets-encrypt-zertifikate-fuer-web-und-mail-unter-ubuntu-16-04/