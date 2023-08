2013 war das Web noch weitgehend unverschlüsselt, obwohl mit der Transportverschlüsselung HTTPS bereits eine sichere Alternative vorhanden war. Dies machte es Angreifern einfach, etwa übers Web versandte E-Mails mitzulesen oder sogar Online-Konten durch den Klau von Session-Cookies zu übernehmen. Es gab ein großes Problem: Um HTTPS einzusetzen, brauchen Betreiber einer Webseite ein TLS-Zertifikat von einer Zertifizierungsstelle. Nicht nur der Preis stellte ein Hindernis dar, um mehr Webauftritte zu verschlüsseln, sondern vor allem auch die Komplexität der Installation der Zertifikate.

Traum einer besseren Welt

Eine Gruppe entschlossener Forscher und Technologen der US-Bürgerrechtsorganisation Electronic Frontier Foundation (EFF) und der University of Michigan wollte das ändern. Sie träumten nach eigenen Angaben von einer besseren Welt, "in der jede besuchte Webseite vor Spionage und Eingriffen geschützt wäre". Zusammen mit Gleichgesinnten etwa von Mozilla, dem Hersteller des Browsers Firefox, entwarfen sie daher –verknüpft mit einer Verschlüsselungskampagne – die Zertifizierungsstelle Let's Encrypt sowie Werkzeuge wie Certbot, die den Schutz von Webseiten vereinfachen und das Navigieren im Internet sicherer machen.

Mit Unterstützung von Mozilla, der EFF, Akamai, Cisco und der Hochschule von Michigan gründeten Josh Aas und Eric Rescorla 2013 die gemeinnützige Internet Security Research Group (ISRG), die kurz darauf die Stammorganisation für Let's Encrypt wurde und bis heute hinter der Einrichtung steht. "Let’s Encrypt war insofern radikal, als es Zertifikate kostenlos für jeden mit einer Webseite bereitstellte", feiert die EFF aktuell den 10. Geburtstag der ISRG und der Verschlüsselungskampagne. Zudem habe die Institution eine Möglichkeit eingeführt, "das Risiko und die Mühe der manuellen Ausstellung und Installation von Zertifikaten zu automatisieren": Mit dem neuen ACME-Protokoll konnte jeder Webseitenbetreiber Software wie Certbot ausführen, die bei einer korrekten Handhabe und Installation hilft.

Vor allem mit den ersten Snowden-Enthüllungen ebenfalls vor einem Jahrzehnt stieg das Interesse an HTTPS deutlich. Unter anderem machte sich auch die Internet Engineering Task Force (IETF) in diesem Lichte für eine "Zeitenwende" bei der Internet-Verschlüsselung stark. Richtig los ging es mit "Let's Encrypt" im Sommer 2015.

Schon im November 2022 erklärte die ISRG, über Let's Encrypt drei Milliarden TLS-Zertifikate ausgegeben zu haben. Auch die EFF spricht nun von einem riesigen Erfolg, mit über 250 Millionen aktiven Gratis-Zertifikaten, "die Hunderte Millionen Websites schützen". Laut Firefox-Daten verwendeten derzeit 78 Prozent der geladenen Seiten HTTPS. Das ist eine enorme Verbesserung gegenüber 27 Prozent im Jahr 2013. Es gebe aber noch viel zu tun, um 100 Prozent zu erreichen. Google gibt sogar an, dass bereits 95 Prozent des Traffics verschlüsselt über die eigenen Dienste laufen.

Nachhaltigkeit und weitere Projekte

"Unsere Arbeit ist noch lange nicht zu Ende", erklärte jüngst ISRG-Mitgründer Aas. Er kündigte an: "Bei Let's Encrypt, das wichtiger denn je und relativ ausgereift ist, wird unser Fokus in den nächsten Jahren auf der langfristigen Nachhaltigkeit liegen." Viele könnten sich gar nicht mehr an eine Zeit erinnern, in denen diese Zertifikate noch nicht verfügbar gewesen seien. Die ISRG arbeite zudem an den Projekten Prossimo, einer Initiative zur Verlagerung kritischer Software-Infrastruktur auf speichersicheren Code, sowie an dem datenschutzfreundlichen Statistikinstrument Divvi Up.

Die Bundesregierung bezeichnete den "flächendeckenden Einsatz von HTTPS grundsätzlich" bereits 2018 als "erstrebenswert". Ziel sei es, die Bürger "für die Nutzung gesicherter Webseiten zu sensibilisieren". Bei Internetanbietern solle die Bereitschaft erhöht werden, solche verschlüsselte Seiten anzubieten. Man weise daher mit "zahlreichen Informationsangeboten" wie Aufklärungskampagnen des Bundesamts für Sicherheit in der Informationstechnik (BSI) regelmäßig "auf die Bedeutung der Nutzung von HTTPS hin". Laut dem Portal https.jetzt boten im März 2019 aber erst 40 Prozent der Behörden des Bundes sowie 61 Prozent der kommunalen Webseiten HTTPS.

