Let's Encrypt: Gratis-SSL-Zertifikate für alle ab 3. Dezember

18.11.2015 - In Kürze startet Let's Encrypt in die öffentliche Beta und beginnt damit, SSL-Zertifikate auszustellen, die von den Browsern als vertrauenswürdig eingestuft werden – kostenlos und so einfach wie nie.

Am 3. Dezember dieses Jahres nimmt die Zertifizierungsstelle (CA) Let's Encrypt den öffentlichen Betrieb auf und beginnt damit, kostenlose SSL-Zertifikate für jedermann auszustellen. Wie Projektleiter Josh Aas berichtet, hat die CA seit dem Start der geschlossen Betaphase vor zwei Monaten bereits über 11.000 Zertifikate ausgestellt. Er ist daher zuversichtlich, dass die Systeme nun bereit für den öffentlichen Betrieb sind. Da die Entwicklung der Konfigurations-Software noch Arbeit erfordert, bezeichnet Aas den Termin als Start der öffentlichen Betaphase (Public Beta).

Wer ist Let's Encrypt

Hinter Let's Encrypt stehen bekannte Namen wie Mozilla, Akamai, Cisco und die Electronic Frontier Foundation. Sie haben sich zur Internet Security Research Group (ISRG) zusammengefunden. Das Ziel des Projekts ist nicht weniger, als verschlüsselte HTTPS-Verbindungen zum Standard im Web zu machen und so für mehr Datenschutz und Sicherheit zu sorgen. Let's Encrypt möchte dies mit kostenlosen Zertifikaten erreichen, die von den gängigen Browsern als vertrauenswürdig eingestuft werden. Darüber hinaus hat die ISRG ein neues Protokoll namens ACME entwickelt, das die Herausgabe von Zertifikaten automatisierbar macht.

https:// schnell und einfach

Die Konfiguration des Servers ist mit Let's Encrypt so einfach wie nie zuvor: Um ein Zertifikat zu erhalten und dem Server SSL beizubringen, muss man lediglich das Let's-Encrypt-Tool auf dem Server starten. Es kontaktiert die CA, fordert ein Zertifikat für eine bestimmte Domain an und beweist der CA anschließend, dass der Server tatsächlich über die Domain erreichbar ist (Domain Validation). Anschließend holt es sich das signierte Zertifikat ab und konfiguriert auf Wunsch sogar den Server für SSL.

Das Tool befindet sich aktuell in der Entwicklung, leistet aber etwa unter Ubuntu in Kombination mit Apache bereits gute Dienste. Windows-Server unterstützt es nicht, es existieren aber bereits inoffizielle Ports für die Microsoft-Plattform. Die Erweiterung der Plattformunterstützung ist von der ISRG ausdrücklich erwünscht; Client und Protokoll sind Open Source.

Quelle: Heise.de

SSL-Zertifikate: Microsoft will sich schon nächstes Jahr von SHA-1 trennen

5.11.2015 - Microsoft überlegt ob der neuen Qualität von Angriffen auf den Hash-Algorithmus, diesen schon Mitte 2016 auf die verbotene Liste zu setzen. Google und Mozilla gehen ähnliche Wege.

Microsoft wollte den unsicheren Algorithmus SHA-1 eigentlich zum 1. Januar 2017 nicht mehr in seiner Software unterstützen. Dieser wird unter anderem noch zum Signieren von SSL/TLS-Zertifikaten unterstützt. Jetzt denkt die Firma laut darüber nach, diesen Termin auf Juni 2016 vorzuziehen. Grund ist ein neuer Angriff, der SHA-1 nun endgültig den Rest geben könnte. So hatten Sicherheitsforscher im Oktober einen Bericht vorgelegt, in dem sie zeigen, wie sie mit SHA-1 erzeugte Hashes innerhalb von Tagen knacken können.

Um keine Kompatibilitätsprobleme zu verursachen, will Microsoft das Vorhaben mit anderen Browser-Herstellern abstimmen. Mozilla hatte kürzlich noch einmal seinen Plan bestätigt, Firefox-Nutzer ab dem 1. Januar 2016 vor SHA-1-Zertifikaten zu warnen und diese ab dem 1. Januar 2017 ganz zu blocken. Auch Google hat seit Jahren vor, mit Chrome ähnliche Wege zu gehen. Details dazu, für welche Einsatzgebiete Microsoft SHA-1-Zertifikate blockieren will, stehen in einem eigenen TechNet-Artikel.

Quelle: Heise.de

Let's Encrypt: Webbrowser vertrauen Zertifikaten

20.10.2015 - Die Zertifizierungsstelle IdenTrust hat die Zwischen-CAs von Let's Encrypt unterschrieben. Mitte November soll die Ausstellung von Zertifikaten für die Allgemeinheit beginnen.

Ab sofort vertrauen alle großen Webbrowser den beiden Zwischen-CAs Let's Encrypt Authority X1 und Let's Encrypt Authority X2. Denn neben Let's Encrypt hat nun auch die Zertifizierungsstelle IdenTrust die CAs unterschrieben (cross-sign).

Ein entsprechend unterschriebenes Zertifikat kann man auf einer Webseite des Projektes begutachten. Im September dieses Jahres veröffentlichte Let's Encrypt das erste Test-Zertifikat. Ab dem 16. November 2015 sollen Zertifikate für die Allgemeinheit verfügbar sein.

Let's Encrypt haben unter anderem die Electronic Frontier Foundation (EFF) und Mozilla ins Leben gerufen. Let's Encrypt will SSL/TLS-Zertifikate kostenlos für alle Server-Betreiber bereitstellen. Dabei sind sie stetig auf der Suche nach neuen Partnern.

Quelle: Heise.de

Todesstoß für SHA-1 steht bevor

16.10.2015 - Ein erster praktikabler Angriff von Sicherheitsforschern auf SHA-1 verschärft die Aussage, dass die Hashfunktion nicht mehr zum Einsatz kommen sollte.

Sicherheitsforscher haben die seit einem Jahrzehnt als unsicher geltende kryptologische Hashfunktion SHA-1 erfolgreich attackiert. Dafür haben sie ein 64-GPU-Cluster zehn Tage lang rechnen lassen. In einem ausführlichen Bericht erläutern sie ihre Vorgehensweise (PDF-Download).

 

Die sogenannte SHA-1-Kollision bricht den Sicherheitsforschern zufolge die Hashfunktion aber noch nicht komplett auf. Der Ansatz gebe aber einen Ausblick, wann es soweit sein könnte und die Sicherheitsforscher gehen von einer baldigen Kompromittierung aus. Frühere Berichte prophezeiten das für das Jahr 2017.

 

SHA-1 kostengünstiger und schneller knacken

 

Schon seit 2005 existieren theoretische Kollisionsattacken auf SHA-1, die die Sicherheitsforscher ausgebaut haben. Ihr Ansatz zeigt auf, dass Grafikkarten die Berechnungen besonders effizient stemmen können. Das geht nicht nur schneller als mit CPUs, sondern senkt auch die Kosten.

 

Aufgrund ihrer Erkenntnisse raten die Sicherheitsforscher dringlich dazu, SHA-1 zeitnah nicht mehr einzusetzen. Zudem sprechen sie sich gegen das Vorhaben des CA/Browser Forums aus, die Verteilung von SHA-1-Zertifikaten bis zum Ende des Jahres 2016 zu verlängern.

Der beteiligte Sicherheitsforscher Marc Stevens war auch Teil des Teams, das bereits MD5 den Todesstoß versetzt hat. Dabei nutzten die Forscher eine Kollision mit MD5, um sich selbst ein CA-Zertifikat zu erstellen, das von allen Browsern akzeptiert wurde.

Quelle: Heise.de