15. März 2018 - Die kostenlose Zertifizierungsstelle Let's Encrypt stellt ab sofort auch Zertifikate ohne explizit benannte Subdomains aus. Durch solche Wildcards können Admins mit weniger unterschiedlichen Zertifikaten HTTPS aktivieren.

Let's Encrypt wollte bereits ab Februar Wildcard-Zertifikate ausstellen, musste den Starttermin aber wegen zuvor bekannt gewordener Probleme mit der TLS-SNI-Validierungsmethode verschieben. Die Probleme hatten viel Arbeitszeit der Entwickler gebunden, sodass das neue Protokoll ACME 2.0 noch nicht ausreichend getestet werden konnte. Wie Josh Aas, Evecutive Director der Organisation hinter Let's Encrypt, nun bekannt gab, sind die Tests nun abgeschlossen.

Damit kann man bei Let's Encrypt nun nicht nur Zertifikate für einzelne Domains und Subdomains beantragen, sondern auch für sämtliche Subdomains. Die Wildcard *.example.com gilt dann beispielsweise auch für die Subdomain mail.example.com, ohne dass man diese Subdomain extra ins Zertifikat schreiben müsste. Damit müssen Admins beim Anlegen neuer Subdomains nicht mehr zwingend auch ein neues Zertifikat beantragen. Das erleichtert unter anderem Konfigurationen mit Public-Key-Pinning, da man dort nicht in schneller Folge Zertifikate austauschen möchte.

Wildcard-Zertifikate stellt Let's Encrypt nur aus, wenn man die Kontrolle über die Domain mit einem TXT-Record im Domain Name System (DNS) nachweist. Außerdem muss man zwingend einen Let's-Encrypt-Client verwenden, der ACME bereits in Version 2 unterstützt. Das können noch nicht alle Clients, eine Liste befindet sich hier.

Quelle: heise.de