Abhängigkeit von Let’s Encrypt

Gestern ging die Meldung rum, daß Let’s Encrypt (LE) mehr als die Hälfte aller SSL-Zertifikate ausstellt. Ich begrüße das und nutze ja auch LE. Allerdings habe ich es nicht so gern, wenn ich von EINEM Anbieter abhängig bin.

Neulich habe ich bemerkt, was passieren würde, wenn LE ausfallen würde. LE-Zertifikate bezieht man in der Regel durch ein Programm, welches man auf seinem Server installiert. Ich nutze den Standard-Client certbot. Da die Zertifikate normalerweiser nur eine Gültigkeit von 3 Monaten besitzen, muß man sie regelmäßig erneuern; am besten automatisiert. Leider wurde ein Weg, wie die rechtmäßige Kontrolle über den Webserver, als Voraussetzung für das Zertifikat, festgestellt werden kann, aus Sicherheitsgründen abgeschaltet. Ich musste doch lange rumprobieren, bis es wieder geschafft habe, das SSL-Zertifikat zu aktualisieren.

Die Website unverschlüsselt auszuliefern wäre übrigens keine Alternative gewesen. Als sicherheitsbewußter Webserver-Admin habe ich natürlich das HSTS-Flag (HTTP Strict Transport Security) gesetzt. Dadurch weise ich Browser an, daß sie nur eine verschlüsselte Verbindung zulassen sollen, auch wenn sie die Seite später noch einmal aufrufen sollen. Man muß also echt aufpassen, daß man sich und die Besucher nicht aussperrt. Genauso wäre es aber auch, wenn LE seinen Dienst plötzlich einstellen oder kostenpflichtig machen würde.

Es wäre daher wünschenswert, wenn es neben LE einen ähnlichen kostenlosen Dienst geben würde.