Let's Encrypt: kostenlose SSL-Zertifikate

Status
Für weitere Antworten geschlossen.

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
So, der Start von Let's Encrypt rückt näher. Jüngst sind die Root- und Internediate-Zertifkate erzeugt worden.

Was ist Let's Encrypt?
Angesichts der immer stärkeren Notwendigkeit nach einer allgemein verfügbaren SSL-Verschlüsselung haben sich die Mozilla Foundation, die Electronic Frontier Foundation, Cisco und dem Hersteller von Cloud-Lösungen Akamai als Hauptsponsoren zu einer neuen Initiative zusammengeschlossen, die mit Hilfe der gemeinnützigen ISRG kostenlose SSL-Zertifikate für all diejenigen anbieten wird, die ihren Server mit einem Class1-Zertifikat für ihre Domain absichern wollen.
Bisher kommen hier ja einige andere Anbieter in Frage (bspw. der israelischen StartCom), wo natürlich immer diskutiert wird, inwieweit diese Root-CA autark gegenüber staatlichen Institutionen ist. Hier soll Let's Encrypt eine neue, offene Alternative bieten.
Ab Mitte diesen Jahres soll der automatisierte Abruf von Zertifikaten starten. Ich werde an dieser Stelle die Infos zum Start und den technischen Abläufen entsprechend nachreichen.
 

Eldatas

Benutzer
Mitglied seit
03. Jan 2014
Beiträge
8
Punkte für Reaktionen
0
Punkte
0
Das klingt vielversprechend! Ich werde deinen Thread hier im Auge behalten ;)
 

QTip

Super-Moderator
Teammitglied
Mitglied seit
04. Sep 2008
Beiträge
2.341
Punkte für Reaktionen
13
Punkte
84
In den FAQ steht nun:
https://letsencrypt.org/faq/ schrieb:
When can I get a certificate from Let’s Encrypt?

Let’s Encrypt will be generally available in September of 2015
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
Um das genauer einzugrenzen: ab der KW31 (also ab Ende Juli) werden Zertifikate generiert - dann allerdings nur für ausgewählte Domains und noch ohne Quesignierung (d.h. es wird dann noch das letsencrypt-eigene Root-Zertifikat auf den Clients benötigt). Damit sollen Skalierbarkeit, Konfiguration und Verfügbarkeit der Systeme getestet werden. Aber der KW38 (d.h. ab dem 14.September) geht es dann für die Allgmeinheit los, dann auch mit der Quersignatur von IdenTrust, was aufgrund der weiten Verbreitung in Client-Systemen sicherstellt, dass die erzeugten Zertifikate ohne weiteres Zutun auch akzeptiert werden.
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
In der kommenden Woche werden nun die ersten Zertifikate ausgestellt - zunächst für ausgewählte Domain, wie bereits oben geschrieben. Der allgemeine Start ist weiterhin für die Woche ab dem 14. September angesetzt.
Wer Lust hat, sich bereits vor dem Start etwas warmzulaufen und bspw. mit der Bedienung des Clients vertraut zu machen, findet diesen hier im Git. Eine Anleitung dazu findet sich hier.
Wichtig
: damit werden aktuell nur Testzertifikate mit einer Test-CA erstellt. Also nicht in einem produktiven System ausprobieren ;)
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
So, einer der wichtigsten Schritte zum allgemeinen Start ist getan - ab sofort ist die Cross-Signatur von IdenTrust für die CA von Let's Encrypt gültig, so dass die Zertifikate von Let's Encrypt in allen aktuellen Browsern anerkannt werden (Pressemeldung). In der Woche ab dem 16.11. soll es dann für alle losgehen.
 

Matthieu

Benutzer
Mitglied seit
03. Nov 2008
Beiträge
13.222
Punkte für Reaktionen
88
Punkte
344
Ich habe mittlerweile eine Freischaltung für die closed beta. Leider fehlt mir momentan die Zeit dafür, denn man müsste den Client portieren auf die DS. Das ist ja der eigentliche Clou dahinter: Es ist total einfach zu handhaben mit dem passenden Client.

MfG Matthieu
 

DKeppi

Benutzer
Mitglied seit
01. Apr 2011
Beiträge
3.207
Punkte für Reaktionen
62
Punkte
114
Bin ein totaler Laie was Zertifikate angeht, aber ich habs mal auf der Syno in einer Debian VM installiert und Zertifikate für meine Domain erstellt.
Wichtig war das man den https Port 443 öffnet, da die Erstellung sonst nicht funktionierte.

Die Zertifikate habe ich dann in die Syno importiert!
Fremdzertifikat, gültig bis 2.2.2016 und meine Domain wird korrekt angezeigt.

Sollte das grundsätzlich dann so klappen?

PS.: Komme jetzt leider per VPN nicht mehr hin, kann also erst zuhause weitere Tests machen!
 
Zuletzt bearbeitet:

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
Sollte das grundsätzlich dann so klappen?
Der Client automatisiert - wenn er denn konfiguriert ist - den ganzen Vorgang. Oben hatte ich ja schon den Link auf das Manual des Clients gepostet. Hier gibt's noch ein Video, in dem das Ganze etwas erläutert wird.
 

melo

Benutzer
Mitglied seit
04. Nov 2015
Beiträge
8
Punkte für Reaktionen
0
Punkte
0
Hey DKeppi,

kannst du bitte beschreiben, wie du den let's encrypt client verwendet hast, um deine Zertifikate zu bekommen?

Ich nehme an, dass du den manual mode des clients verwendet hast, denn soweit ich weiß ist dies der einzige Modus, welcher dafür gedacht ist, den Client auf einem anderen System als auf dem für welches die Zertifikate angefordert werden auszuführen.
Da es zum manual mode aber leider überhaupt keine Doku gibt, wäre ich für eine Beschreibung wie du es angestellt hast dankbar =)

@Matthieu: Ich hätte hier grundsätzlich Interesse bei der Portierung mitzuhelfen (oder es zumindest zu versuchen).
 

DKeppi

Benutzer
Mitglied seit
01. Apr 2011
Beiträge
3.207
Punkte für Reaktionen
62
Punkte
114
Habe folgendes gemacht:


Rich (BBCode):
 cd letsencrypt


Und dann folgendes ausgeführt (stand so im Mail drinnen das ich bekommen habe):
Rich (BBCode):
./letsencrypt-auto --agree-dev-preview --server https://acme-v01.api.letsencrypt.org/directory auth


Aber wie gesagt, ich habe NULL Ahnung...

Ich denke man muss womöglich das csr der Syno vorher noch gegen das vorhande tauschen!?
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0

DKeppi

Benutzer
Mitglied seit
01. Apr 2011
Beiträge
3.207
Punkte für Reaktionen
62
Punkte
114

Joesix

Benutzer
Mitglied seit
08. Feb 2012
Beiträge
137
Punkte für Reaktionen
0
Punkte
0
Das klingt ja alles recht vielversprechend. Es sieht aber für mich so aus als wenn die gesamte Überprüfung nur via Web-Server durchgeführt wird. Hat irgendjemand eine Ahnung wie das ganze bei Multi-Domain Zertifikaten laufen soll?

Can I get a certificate for multiple domain names?

Yes, the same certificate can apply to several different names using the Subject Alternative Name (SAN) mechanism. The Let's Encrypt client automatically requests certificates for multiple names when requested to do so. The resulting certificates will be accepted by browsers for any of the domain names listed in them.

Ich nutze gerne virtuelle Hosts und somit hat meine DS auf Seiten des Web-Servers doch deutlich mehr als nur einen FQDN. :confused:
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
... Hat irgendjemand eine Ahnung wie das ganze bei Multi-Domain Zertifikaten laufen soll?
Ich nehme an, genauso - über die entsprechende Datei, die von jeder Domain abrufbar sein muss.
 

Joesix

Benutzer
Mitglied seit
08. Feb 2012
Beiträge
137
Punkte für Reaktionen
0
Punkte
0
Oha, das wird ja spassig werden. Bei mir ist z.B. die Notestation auf Port 443 via Reverse Proxy erreichbar. Da werd ich wohl mal suchen müssen...
 

DKeppi

Benutzer
Mitglied seit
01. Apr 2011
Beiträge
3.207
Punkte für Reaktionen
62
Punkte
114
Ich bekomms nicht hin, erhalte immer folgende Fehlermeldung:

05-11-2015 08-04-11.png

Wenn ich meine Domain pinge wird sie richtig aufgelöst...

Was kann das Problem sein?
 

Matthieu

Benutzer
Mitglied seit
03. Nov 2008
Beiträge
13.222
Punkte für Reaktionen
88
Punkte
344
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat