Kostenlose TLS-Zertifikate in Plesk: Let’s Encrypt statt StartSSL
Bisher wurde als Anlaufstelle für kostenlose SSL-Zertifikate, die von allen Browsern ohne Warnmeldung akzeptiert werden, zumeist die israelische Firma StartSSL genannt, und daher bezog auch bislang das Zertifikat meiner privaten Webseite. Umso überraschter war ich, als ich von Google folgende Nachricht bekam:
Google hat festgestellt, dass das auf https://ingram-braun.net/ verwendete SSL-/TLS-Zertifikat selbst signiert ist, was bedeutet, dass es nicht von einer Zertifizierungsstelle, sondern von Ihrem Server ausgestellt wurde. Da nur Zertifizierungsstellen als vertrauenswürdige Quellen für SSL-/TLS-Zertifikate betrachtet werden, stufen die meisten Browser Ihr Zertifikat nicht als vertrauenswürdig ein. Dass Ihr Zertifikat selbst signiert ist, bedeutet außerdem, dass Ihre Inhalte nicht authentifiziert sind. Diese können geändert werden und die Daten oder das Surfverhalten Ihrer Nutzer kann von Dritten erfasst werden. Aus diesem Grund blockieren viele Webbrowser den Zugriff von Nutzern auf Ihre Website und zeigen eine Sicherheitswarnung an. Hierdurch soll verhindert werden, dass das Surfverhalten der Nutzer von Dritten erfasst wird, wie es auf unsicheren Websites oftmals geschieht.
Daß die Browser Sicherheitswarnungen auswerfen, stimmt definiv nicht – habe ich selbst bei der Installation durchgetestet. Problematisch ist allerdings, daß Google das glaubt. Ich habe keine Hinweise auf eine verschlechterte Performance dort, aber in deren Logik, die ja hauptsächlich den Nutzen für die Besucher zu bewerten sucht, wäre eine Herabstufung eigentlich sinnvoll. Wer will schon auf Seiten, die Sicherheitswarnungen erzeugen?
Bei dem Versuch, mich etwas näher zu informieren, stieß ich darauf, daß Plesk mittlerweile die kürzlich freigeschaltete Betaversion von Let’s Encrypt als kostenfreie Erweiterung anbietet. Diese Zertifizierungsstelle stellt ausschließlich kostenlose Zertifikate für Domains aus. Dies geschieht mittels einer Software, die praktisch den ganzen Beantragungsprozeß automatisiert und auch ablaufende Zertifikate automatisch erneuert. Einzelheiten kann man im umfangreichen Wikipedia-Artikel zu Let’s Encrypt nachlesen. Auch diese Zertifikate werden seit Kurzem von allen Browsern akzeptiert. Um es in Plesk zu installieren, geht man im Administratorpanel auf Erweiterungen, dann auf den Karteireiter Katalog der Erweiterungen und kann es dann von dort installieren.
Nun steht es in der Liste unter Erweiterungen zur Verfügung. Klickt man darauf, erscheint eine Liste der verwalteten Domains. Wenn man auf eine davon klickt, dann erscheint ein Eingabeformular:
Dieses Formular abzusenden, ist tatsächlich alles, was man tun muß. Kein Vergleich mit StartSSL, wo man jährlich den nicht ganz trivialen Installationsprozeß wiederholen mußte.
Es gibt natürlich ein paar Einschränkungen. Das Zertifikat gilt nur für die Domain und die www-Subdomain (sofern man das Häkchen gesetzt hat). Deshalb muß man für alle Subdomains ein eigenes Zertifikat installieren. Es funktioniert auch nicht mit dem generischen Servernamen. Leider geht es z. Zt. auch noch nicht mit den Webmail-Subdomains von Horde oder Roundcube. Siehe auch den Beitrag im Plesk-Handbuch!