Let’s Encrypt: 6-Tage- und IP-Zertifikate jetzt allgemein verfügbar

Let’s Encrypt hat die allgemeine Verfügbarkeit von 6-Tages- und IP-Zertifikaten verkündet. Tests liefen teils bereits seit einem Jahr – nun sollen alle in den Genuss von besseren Sicherheitsmöglichkeiten kommen.

Auf der Let’s-Encrypt-Webseite teilt das Projekt mit, dass Interessierte ab sofort die kurzlebigen Zertifikate einsetzen können, die für 160 Stunden gültig sind, knapp über sechs Tage. Dazu müssen sie in ihrem ACME-Client lediglich das „shortlived“-Zertifikatprofil auswählen. „Kurzlebige Zertifikate erhöhen die Sicherheit dadurch, dass sie eine häufigere Validierung benötigen und sich nicht auf unzuverlässige Widerrufsmechanismen verlassen“, schreibt der Projekt-Beteiligte Matthew McPherrin.

Er erklärt weiter: „Wenn der private Schlüssel eines Zertifikats offengelegt oder kompromittiert wird, war bisher der Widerruf (Revocation) die Methode der Wahl, um den Schaden vor Ablauf des Zertifikats zu begrenzen. Leider ist der Zertifikat-Widerruf ein unzuverlässiges System, sodass viele bis zum Ablauf des Zertifikats, also bis zu 90 Tage lang, weiterhin gefährdet sind. Mit kurzlebigen Zertifikaten reduziert sich der anfällige Zeitraum stark.“

Let’s Encrypt: Freie Wahl

Kurzlebige Zertifikate wollen die Proejtkbeteiligten optional anbieten. „Wir haben derzeit keine Pläne, sie zum Standard zu machen“, führt McPherrin aus. Diejenigen Let’s-Encrypt-Nutzer, die ihren Renewal-Prozess vollständig automatisiert haben, sollten einfach auf die kurzlebigen Zertifikate umstellen können. Das Projekt hofft, dass im Laufe der Zeit alle auf automatisierte Lösungen umstellen, sodass sich zeigen lässt, dass Kurzzeitzertifikate gut funktionieren. Die standardmäßige Laufzeit wird jedoch von 90 Tagen auf 45 Tage in den kommenden Jahren gesenkt, wie das Projekt bereits im Dezember angekündigt hatte.

Kurzlebige 6-Tage-Zertifikate stellen zudem die Basis für die ab jetzt ebenfalls allgemein verfügbaren IP-Zertifikate dar. Server-Admins können TLS-Verbindungen damit auch zu IP-Adressen authentifizieren. Let’s Encrpyt unterstützt dafür sowohl IPv4 als auch IPv6.

Die Ankündigung für interne Tests der Zertifikate mit verkürzter Laufzeit von sechs Tagen kam vor rund einem Jahr. Zur Jahresmitte folgte dann das erste ausgestellte IP-Zertifikat von Let’s Encrypt.

(dmk)