Welche Probleme versuchen wir zu lösen?
- Die HTTPS Verbreitung im Internet ist noch zu gering
- Diese Zahlen sollten bei 100% liegen
Sicherheit ist wichtig...
... aber ein Zertifikat zu erhalten ist schwierig
- Manueller Prozess, unterschiedlich bei jedem Anbieter
- Als erstes muss sich für Zertifikate beworben werden...
- ... dann folgt die oft komplizierte Installation
- Können wir das alles nicht einfach automatisieren?
Eine neue Zertifizierungsstelle
- Kostenlos
- Automatisiert
- Transparent
- Offen
- Kooperativ
Ein automatisches CA
- Die meiste Arbeit der Zertifizierung ist das Verifizieren der Domain Eigentümer
- Let's Encrypt nutzt ein Standard Protokoll um die Kontrolle über eine Domain automatisch zu verifizieren
Automatische Zert. Management Umgebung
Automated Certificate Management Environment (ACME)
- Angenommen jemand möchte ein Zertifikat für example.com
- Wie stellt man sicher das er auch im Besitz von example.com ist?
Domain Validierung
Eine Aufgabe stellen die nur der Domain Eigentümer lösen kann:
- Einen DNS Eintrag für
_acme-challenge.example.com anlegen
- Eine Datei unter
http://example.com/.well-known/acme-challenge/ bereitstellen
- Einen TLS Server auf example.com einrichten
Automatisierte Validierung
- Der gesamte Prozess ist in der ACME Spezifikation beschrieben
- Wie um Autorisation fragen
- Wie sollen die Aufgaben erfüllt werden
- Wie soll nach dem Zertifikat gefragt werden
- Ein standart Protokoll ist die Grundlage für das erstellen von Tools
- Die Vision von ACME ist die künftig Integration in Webserver um HTTPS automatisch bereitzustellen
Ein Offenes CA
Alles an Let's Encrypt ist Open-source:
"Pull requests" sind Wilkommen!
Nur der Anfang...
- Let's Encrypt wird derzeit über die Untergeordnung einer bestehenden CA vertraut
- Eine Bewerbung für einen "Browser Trust" wurde eingereicht
- Ein echtes Zertifikat steht auf der demo Seite zur Ansicht
- ... oder direkt für das Beta Programm anmelden
- Allgemeine Verfügbarkeit Ende 2015