Josh Aas, Executive Director bei der Internet Security Research Group (ISRG), verkündete im Blog des Projekts, dass die SSL-Zertifizierungsstelle Let's Encrypt die für die Ausstellung von Serverzertifikaten nötigen Schlüsselpaare für Root-und Zwischenzertifikate erzeugt hat. Let's Encrypt wurde letztes Jahr von Mozilla, der EFF und anderen Organisationen ins Leben gerufen.

Für Server-Betreiber, die den Abruf ihrer Webseiten verschlüsseln wollen, will Let's Encrypt SSL/TLS-Zertifikate kostenlos bereitstellen. Es wird ein signiertes Server-Zertifikat angefordert und anschließend live geschaltet.

Aas erklärt, dass Let’s Encrypt die Server-Zertifikate über zwei Zwischen-CAs unterschreiben werde, wobei die Root-Certificate-Authority offline bleibe. Von der Zertifizierungsstelle IdenTrust werden diese Zwischen-Zertifikate zusätzlich unterschrieben (cross-sign), damit alle gängigen Browser und Betriebssysteme sie akzeptieren. IdenTrust, die von Banken ins Leben gerufen wurde, unterstützt Let's Encrypt als Sponsor.

Die Server-Zertifikate werden im Normalfall von der Zwischen-CA "Let’s Encrypt Intermediate X1" unterschrieben, erklärt Aas das Verfahren. Sollte Let's Encrypt etwa im Fehlerfall nicht mehr mittels "Let’s Encrypt Intermediate X1" unterschreiben können, werde die zweite Zwischen-CA namens "Let’s Encrypt Intermediate X2" eingesetzt.

Josh Aas erklärt weiterhin, dass die privaten Root-CA-Schlüssel der ISRG sowie der beiden Zwischen-CAs in Hardware Security Modules (HSMs) lagern, die ein hohes Maß an Diebstahlschutz für die Schlüssel versprechen. Derzeit seien alle ISRG-Schlüssel RSA-Schlüssel. Allerdings wolle man im Laufe des Jahres CA-Schlüssel per ECDSA-Algorithmus erzeugen.

(ts, hannover)

(siehe auch heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE