Let’s Encrypt

SSL-Zertifikate kostenlos für Websites erstellen

Mit HTTPS verschlüsselte Webseiten sorgen für mehr Sicherheit bei der Übertragung sensibler Daten. Die dafür nötigen SSL-Zertifikate gibt es jetzt kostenlos.

Für die Verschlüsselung öffentlich zugänglicher Websites benötigen Sie ein SSL-Zertifikat, das der Webbrowser als gültig anerkennt. Bisher war die Beantragung beim Webhoster kompliziert und meist kostenpflichtig. Seit Dezember 2015 bietet jedoch die Initiative Let’s Encrypt, getragen unter anderem von Mozilla, Akamai und Cisco, kostenlose Zertifikate an, die sich ganz einfach abrufen und installieren lassen.

1. SSL-Zertifikat auf dem Server installieren

Wir gehen hier davon aus, dass Sie über einen Apache-Webserver verfügen und eine root-Shell verwenden können. Die Anleitung gilt für Debian, Ubuntu und verwandte Systeme. Einige Webhoster bieten diese Möglichkeit nicht. Sie können dann aber Zertifikate meist über die Konfigurationsoberfläche des Hostingpakets einbinden (-> Punkt 2).

Der Let’s-Encrypt-Client kann Apache so konfigurieren, dass alle Anfragen auf „https://“ umleitet.
Der Let’s-Encrypt-Client kann Apache so konfigurieren, dass alle Anfragen auf „https://“ umleitet.

Wichtig: Erstellen Sie eine Sicherungskopie des Ordners „/etc/apache2/“. Sollte bei der automatischen Konfiguration etwas schiefgehen, können Sie die Originaldateien schnell wiederherstellen. Für den Download der Let’s-Encrypt-Client-Software benötigen Sie das Versionskontrollsystem git. Sollte es nicht vorhanden sein, führen Sie folgende Befehle auf dem Server aus:

sudo apt-get update
sudo apt-get install git

Außerdem muss auf dem Server Python in der Version 2.6 oder 2.7 installiert sein. Das ist in der Regel standardmäßig der Fall (Python 3.x wird bisher nicht unterstützt). Das Installationsscript prüft die Voraussetzungen und meldet, wenn etwas fehlt. Verwenden Sie dann apt-get, um die nötigen Pakete zu installieren. Starten Sie dann in Ihrem Home-Verzeichnis diesen Befehl:

git clone https://github.com/letsencrypt/letsencrypt

Dabei entsteht das Verzeichnis „letsencrypt“ mit den Installationsscripts. Geben Sie folgende Befehle ein:

cd letsencrypt
./letsencrypt-auto --rsa-key-size 4096

Damit weisen Sie das Script an, für das Zertifikat einen sicheren Schlüssel mit einer Länge von 4096 Bit zu verwenden. Standard ist 2048 Bit. Ein einfaches Menü leitet Sie durch die Konfiguration. Beim ersten Aufruf müssen Sie eine E-Mail-Adresse angeben. Let’s Encrypt verschickt Nachrichten, um Sie über den Ablauf der Gültigkeit von Zertifikaten zu informieren. Im nächsten Schritt wählen Sie die Domain aus, für die Sie das Zertifikat erstellen wollen. Anschließend legen Sie fest, ob alle Anfragen automatisch auf „https://“ umgeleitet werden sollen („Secure“) oder die Site auch über „http://“ erreichbar sein soll („Easy“). Im letzten Schritt erzeugt das Script die Schlüssel für die Zertifikate, prüft die Echtheit und Erreichbarkeit der Domain, lädt die Zertifikatdateien herunter und passt die Apache-Konfiguration an. Schlüssel und Konfigurationsdateien landen unter „/etc/letsencrypt“. Sie können jetzt die Sicherheit der Serverkonfiguration und das SSL-Zertifikat testen.