Let’s Encrypt FAQ
Was ist Let’s Encrypt?
Let’s Encrypt ist eine Zertifizierungsstelle (Certificate Authority, kurz CA), welche kostenlos domain-validierte SSL-Zertifikate ausstellt.
Welche Browser akzeptieren Let’s Encrypt SSL-Zertifikate?
Let’s Encrypt hat zwar ein eigenes CA-Zertifikat, das wird derzeit aber noch von kaum einem Browser erkannt. Allerdings ist deren CA-Zertifikat von „IdenTrust“ unterschrieben („cross-signed“). Daher akzeptieren alle großen Browser die Let’s Encrypt SSL-Zertifikate ohne Warnmeldung. Eine Test-Seite finden Sie unter https://helloworld.letsencrypt.org.
Warum sind die Zertifikate kostenlos?
Hinter Let’s Encrypt steht eine gemeinnützige Einrichtung, die ISRG (Internet Security Research Group). Diese wird u.a. unterstützt von Mozilla, Akamai, Cisco, der EFF u.v.m. Da die Zertifikate vollautomatisch ausgestellt werden (so wie das eigentlich bei allen domain-validierten Zertifikaten der Fall ist), entstehen keine nennenswerten Kosten. Allerdings gibt es auch keinen direkten Support durch diese CA.
Was sind domain-validierte SSL-Zertifikate?
Bei domain-validierten SSL-Zertifikaten wird lediglich überprüft, ob der „Antragsteller“ auch tatsächlich im Besitz der Domain ist. Das Zertifikat enthält keinerlei Informationen über den Antragsteller selbst, sondern nur über die bestätigte Domain.
Sind Let’s Encrypt-Zertifikate unsicherer als andere SSL-Zertifikate?
Let’s Encrypt-Zertifikate sind mit SHA256 signiert und können beliebige RSA-Schlüssel mit mind. 2048 Bit nutzen.
Wie lange sind Let’s Encrypt SSL-Zertifikate gültig?
Die Zertifikate haben eine Gültigkeit von 90 Tagen. LiveConfig beginnt aber schon nach 60 Tagen mit der automatischen Erneuerung – sollte irgendwas schief gehen bleibt somit noch genügend Zeit notfalls manuell einzugreifen. Da der komplette Prozess von der Beantragung über die Prüfung bis zur Ausstellung von Zertifikaten voll automatisiert ist, stellt die kurze Gültigkeit keinen Nachteil dar.
Kann man Wildcard-Zertifikate (*.example.org) beantragen?
Nein, Wildcard-Zertifikate werden nicht von Let’s Encrypt ausgestellt.