Wenn du dir vor einiger Zeit StartcomSSL wegen der kostenlosen SSL-Zertifikate angesehen hast, bist du ganz sicher über die Meldung auf deren Website gestolpert, dass Mozilla (Firefox) und Apple (Safari) diese Zertifikate nicht mehr als vertrauenswürdig ansehen werden.
Das Gleiche tut nun Google mit der neuen Chrome-Browserversion 61. Als Alternative bietet sich Let’s Encrypt an, deren SSL-Zertifikate bei goneo sehr einfach erstellt und installiert werden können.
Es hat eine Zeit gedauert, nun scheint das, was sich abgezeichnet hat und auch angekündigt war, eingetreten zu sein: Der neue Chrome-Browser lehnt StartcomSSL-Zertifikate als nicht vertrauenswürdig ab. Ebenso ergeht es Zertifikaten von WoSign, ebenfalls ein Anbieter aus China, zu dem Startcom inzwischen gehört, was das Unternehmen aber nicht offen kommuniziert hat.
Für die Betreiber von Websites, die ein solches Zertifikat für die Verschlüsselung der Datenübertragung (https-Protokoll) verwenden, entsteht nun ein wenig Aufwand. Sie müssen neue Anbieter finden und neue Zertifikate installieren.
Zwar können User die Website nach wie vor aufrufen, aber die Browserhersteller stellen gegebenenfalls eine Warnung voran. Das ist tödlich für den Traffic auf der Site.
Der Vorwurf an die zertifikatsausgebenden Stellen lautet, dass diese Zertifikate nicht sicher sind, weil sie Richtlinien nicht eingehalten haben. So konnten Sicherheitsforscher für eine Domain wie Github.com ein Zertifikat bekommen.
Von StartcomSSL und WoSign gab (und gibt es immer noch) kostenlose, Domain-validierte SSL-Zertifikate. „Domain-validiert“ bedeutet, dass man als User im einfachsten Fall die Inhaberschaft der Domain dadurch nachweist, dass man sich eine E-Mail an ein Postfach schicken lässt, das unter dieser Domain eingerichtet beziehungsweise erreichbar ist. Der Postfachinhaber wird also wohl Kontrolle über die Domain haben, so die Annahme. Ein anderes Verfahren, das in den Bereich „Domain-validiert“ fällt, ist, dass der Inhaber einen bestimmten Text als Domainparameter einträgt – was ja auch nur der Domaininhaber veranlassen kann.
Andere Validierungsprozesse greifen weiter und sehen vor, dass man zum Beispiel die postalische Adresse einer Firma oder Organisation beziehungsweise auch die Existenz der Organisation überhaupt bestätigen muss. Solche auf so einer Basis ausgestellten Zertifikate sind aber viel teurer.
Nachdem immer mehr Browser vor unsicheren Seiten warnen, also entsprechende Hinweise vor Webseiten einblenden, die nicht mit dem https-Protokoll aufgerufen werden können, haben Web-Kriminelle nachgerüstet. Auch sie verwenden für Phishing-Angriffe zunehmend kostenlose SSL-Zertifikate, um User zu täuschen, in Sicherheit zu wiegen und deren Dateneingaben abzugreifen. Das gelingt ihnen, indem sie eine Site kapern und einfach die vorhandenen, eigentlich korrekten Zertifikate verwenden und eine Phishingsite einschleusen. Oder sie beschaffen sich nachträglich ein kostenloses Zertifikat. Dies passiert im großen Stil, so Netcraft im Newsblog.
Klar, dass die Browserproduzenten diesem Sicherheitsthema mehr Aufmerksamkeit widmeten. Verwender bestimmter Zertifikate waren gewarnt. Sie sollten die zweifelhaften Zertifikate austauschen.
Damit gibt es de facto weniger Anbieter für kostenlose SSL-Zertifikate. Der wichtigste ist nun wohl Mozilla mit Let’s Encrypt.
Let’s Encrypt-Zertifikate kannst du auch bei goneo einsetzen. Die aktuellen Webhosting-Pakete „Profi“ (schon ab € 5,99 im Monat) , „Premium“ und „Ultra“ beinhalten diese Möglichkeit. Du kannst ein Let’s-Encrypt-Zertifikat für jeweils eine deiner registrierten Domains dadurch aktivieren, indem du ein Häkchen in den Domaineinstellungen im goneo-Kundencenter klickst.
Mehr muss bei goneo nicht passieren. Die Ausstellung des Zertifikats, die Validierung und Installation passieren im Hintergrund, ohne dass du noch etwas konfigurieren musst.
Schon für 5,99 Euro im Monat kannst du ein Webhosting-Paket bestellen, das die Möglichkeit bietet, zwei Let’s Encrypt-Zertifikate einzusetzen. » Hier das Webhosting-Angebot von goneo im Überblick.