Meine Meinung zu Let’s Encrypt

Let’s Encrypt ist ein neuer Dienst, der es einfach machen soll, TLS/SSL-Zertifikate für den eigenen Server zu erzeugen. Im Praxistest mit Nginx konnte mich das Tool leider überhaupt nicht überzeugen. Dies möchte ich hier darlegen.

Bei Let’s encrypt handelt es sich um eine Skriptsammlung, die via Git auf dem Server installiert wird. Die Skripte scannen die Konfiguration des Webservers und finden hier Hostnamen, unter denen der Server seine Dienste anbietet. Es wird dann im Document-Root eine Datei angelegt, die Let’s Encrypt zur Authentifizierung von außen abzurufen versucht. Soweit die Theorie. Bei Apache mag das schon ganz gut funktionieren, die Unterstützung für Nginx ist jedoch noch experimentell. Ich wollte daher eigentlich nur ein Zertifikat zu einer vorgegebenen Domain erstellen, ohne das meine Nginx-Konfiguration analysiert wird. Das sollte doch eigentlich kein Problem sein?

Leider doch. Let’s Encrypt versucht nämlich, den Webserver dann über Port 80 zu erreichen. Dieser ist bei mir nicht offen und ich musste erst die Firewall und interne Dienste umkonfigurieren, damit der Port überhaupt erreichbar ist. Auch danach klappte es jedoch nicht, die Datei von außen auszulesen, vermutlich ein Rechte-Problem.

Da die Zertifikate von Let’s Encrypt nur drei Monate gültig sind, müsste man alle drei Monate seine Firewall öffnen. Das ist nicht praktikabel. In der Zeit, die ich gestern investiert habe, hätte ich dreimal ein kostenloses Zertifikat von StartSSL geholt, das dann ein Jahr lang gilt. Für 60 $/zwei Jahre bekommt man auch ein Wildcard-Zertifikat. Das ist immerhin viel günstiger als bei 1&1 (120 € im Jahr) und Co.

Statt Port 80 zu benutzen, sollte Let’s Encrypt lieber ein temporäres, selbstsigniertes Zertifikat benutzen um auf Port 443 zuzugreifen.

Fazit

Let’s Encrypt ist ein netter Versuch, aber wenn man dafür seine gesamte Konfiguration ändern muss, dann lohnt sich der Aufwand nicht! Die Dokumentation lässt auch sehr zu wünschen übrig und ist nicht immer auf dem aktuellen Stand. Es ist – gerade für unerfahrene Admins – leichter, die kostenlosen Zertifikate von StartSSL zu verwenden.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Protected by WP Anti Spam