ACMEv2: Let's Encrypt stellt ab sofort Wildcard-Zertifikate aus
Let's Encrypt lässt der eigenen Ankündigung aus dem Sommer 2017 Taten folgen und stellt seit gestern Abend auch Wildcard-Zertifikate aus. Voraussetzung dafür ist ein Client mit Unterstützung für den neuen Standard „ACMEv2“ und die „DNS-01“-Challenge.
Wildcard-Zertifikate sichern alle (direkten) Subdomains einer Domain ab, ohne dass jene im Zertifikat explizit genannt werden müssen. Ein auf „*.blogspot.de“ ausgestelltes Wildcard-Zertifikat kann also für alle Subdomains wie zum Beispiel „alice.blogspot.de“ oder „bob.blogspot.de“ genutzt werden. Das kann den administrativen Aufwand reduzieren oder – wie im Beispiel einer Blog-Plattform – unerlässlich sein, wenn sehr kurzfristig neue Subdomains hinzukommen können.
Voraussetzungen ACMEv2 und „DNS-01“-Challenge
Die Unterstützung von Wildcard-Zertifikaten geht einher mit einer neuen Version des Protokolls ACME, anhand dessen Zertifikate automatisiert ausgestellt werden: ACMEv2. Während die erste Version noch ziemlich spezifisch auf Let's Encrypt zugeschnitten war, soll die zweite Version ein IETF-Standard werden und auch von anderen Zertifizierungsstellen (Certificate Authorities, CA) genutzt werden können. Let's Encrypt unterstützt bis auf Weiteres beide Protokolle, macht ACMEv2 aber zur Voraussetzung zur Ausstellung von Wildcard-Zertifikaten.
Ein weiteres Feature, das ein ACME-Client unterstützen muss, um von Let's Encrypt ein Wildcard-Zertifikat zu erhalten, ist die „DNS-01“-Challenge. Im Gegensatz zu der üblicherweise verwendeten „HTTP-01“-Challenge beweist der ACME-Client dem – in diesem Fall von Let's Encrypt betriebenen – ACME-Server die Kontrolle über eine Domain dabei nicht, indem er via HTTP eine bestimmte Datei zum Abruf bereitstellt, sondern indem er einen bestimmten DNS-Eintrag erstellt.
Weitere Informationen enthalten die offizielle Ankündigung und ein Forumbeitrag mit technischen Details. Zudem steht eine Liste der ACMEv2-kompatiblen Clients bereit.
Die Luft für kommerzielle CAs wird dünner
Da die gemeinnützige Organisation Let's Encrypt auch die Wildcard-Zertifikate kostenlos anbietet, wird die Luft für kommerzielle CAs zunehmend dünner. Zwar bieten sie Zertifikate an, die nicht wie bei Let's Encrypt nur 3 Monate lang gültig sind, sondern 1–2 Jahre. Aber weil die Erneuerung der von Let's Encrypt ausgestellten Zertifikate dank ACME vollständig automatisiert werden kann, ist das oft kein Vorteil.
Was Let's Encrypt aufgrund der nicht automatisierbaren Prüfung vermutlich nie anbieten wird, sind Extended-Validation-Zertifikate (EV-Zertifikate), bei denen zumindest Desktop-Browser in der Adressleiste nicht die Domain sondern die Firma anzeigen, was zusätzliches Vertrauen schaffen soll – obwohl es technisch sonst keinen Unterschied gibt. Manche Sicherheitsexperten bezweifeln, dass Nutzer überhaupt darauf achten, ob eine Website ein EV-Zertifikat nutzt oder nicht. Amazon und Google gehören beispielsweise nicht dazu. Wer hätte es gewusst?
Am Ast der EV-Zertifikate wird jedoch auch abseits ihrer Irrelevanz auf Smartphones und generell zweifelhaftem Nutzen kräftig gesägt, wie das Beispiel eines auf „Stripe, Inc“ ausgestellten EV-Zertifikats zeigt: Jemand hat in einem anderen US-Bundesstaat ein Unternehmen mit dem Namen des bekannten Zahlungsdienstleisters angemeldet und von der CA „Comodo“ daraufhin ohne Anstalten ein EV-Zertifikat erhalten, das er für Phishing hätte missbrauchen können.