Vor 15 Jahren wäre ich ja fast auf die Idee Idee gekommen ein Trust-Center zu eröffnen. Zu diesem Zeitpunkt erschien mir das Geschäftsmodell ziemlich clever. Man lässt sich fürstlich dafür bezahlen ein paar Befehle auf der Kommandozeile auszuführen damit Webseiten mit Verschlüsselung zu versorgen.
Zu dieser Zeit waren es aber auch maximal Banken und Zahlungsanbieter oder offensichtlich mit sensiblen Daten arbeitende Seiten welche überhaupt verschlüsselten. Tatsächlich wusste mancher SEO ja auch aus Erfahrung das Google kein SSL kann und überhaupt Datenverlust oder Massenüberwachung waren damals kaum ein Thema.
Das Konzept dieser Trust-Center war (und ist) aber einfach geil. Ich konnte meine Seite zwar auch verschlüsseln, aber wenn ich nichts bezahlen wollte dann gab es jedes mal eine fette Warnung vom Browser das mein Zertifikat nicht vertrauenswürdig sei. Wenn ich mich nicht täusche gilt das gleiche auch immer noch für CAcert, ein Projekt das Authentizität und Verschlüsselung mittels eines Netzwerks von engagierten Assurern kostenlos zur Verfügung stellen wollte.
Zwischendurch gab es noch StartSSL von welchen man neben bezahlten Zertifikaten auch kostenlose bekommen konnte. Letztere waren nur 1 Jahr gültig und die Authentizität wurde nur über E-Mails sichergestellt. Inzwischen verschiedentliche Probleme und Besitzerwechsel welche dazu führten das alle großen Browser diese Zertifikate inzwischen ablehnen.
Mit verschiedenen Exploits in Verschlüsselungsmechanismen, Datenpannen und unerwarteter Überwachung ging nun auch ein Wandel einher. Plötzlich ist es schick jede Seite zu verschlüsseln. Kosten darf das natürlich weiterhin nix und in diese Bresche ist nun Let’s Encrypt gesprungen. Bei dieser Initiative reicht es einen Client per Git auszuchecken, seine E-Mail und Domain anzugeben und zusätzlich noch seine Webserver Konfiguration anzupassen. Allein damit kann man sich in jedem Browser gültige Zertifikate unterzeichnen lassen.
Ich finde das geil und ich benutze es auch weil ich meinen Besuchern eine bequeme Möglichkeit bieten möchte verschlüsselt auf mein Blog zuzugreifen. Aber und das scheint bei Let’s Encrypt nie so richtig rüber zu kommen: Durch ein kleines Grünes Schloss sind Daten nur auf dem Weg vom Browser zum Server geschützt! Was dort damit passiert, wer den Server betreibt und was der damit macht, darüber sagt das Schloss bei Let’s Encrypt so gar nichts aus.
Warum? Wenn ich physischen Zugriff auf einen Server habe, dann kann ich dort E-Mails empfangen, Webseiten hosten und Let’s Encrypt Zertifikate installieren. Meiner Meinung nach ist Let’s Encrypt eine coole Idee, aber die versprochene Sicherheit sehe ich durchaus mit gemischten Gefühlen. Was den Part der Authentizitätsprüfung angeht war CAcert deutlich fortgeschrittener, leider haben die es aber nicht in unter die von den Browsern vertrauenswürdigen Trust-Center geschafft.
Am Ende lässt sich wohl mit der “Volksverschlüsselung” kein Geld verdienen. Echte Authentizität gibt es aber weiter nicht auf dem Grabbeltisch.