Verschlüsselung: Security-Appliances und Router mit TLS-Zertifikaten versorgen

Spezialisierte Webdienste können zu signierten TLS-Zertifikaten verhelfen, wenn die gängige Einrichtungsmethode der Let's-Encrypt-Initiative nicht greift.

Lesezeit: 4 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen

(Bild: Thorsten Hübner)

Von
  • Johannes Weber
Inhaltsverzeichnis

Mittels TLS-Zertifikaten (Transport Layer Security) lässt sich der Verkehr zwischen dem Webserver und dem Browser verschlüsseln und der Webserver kann sich mit einem signierten Zertifikat authentifizieren, also belegen, dass der User die gewünschte Domain angesteuert hat – etwa fritzbox.example.com. Für die TLS-Verschlüsselung müssen sich Browser- und Serverhersteller lediglich für geeignete Methoden entscheiden und diese implementieren.

Für die Authentifizierung von Domains, die die Zertifizierungsstellen gewährleisten (Certification Authorities, CA), ist weiterer Aufwand erforderlich. Bei sicherheitskritischen Domains wie geldhaus.de müssen Antragsteller belegen, dass ihnen die Domain gehört. Dazu prüft eine CA etwa das Unternehmensregister.

Für gewöhnliche Domains ist der Prüfvorgang automatisiert. Bei Let’s-Encrypt-Zertifikaten liefert eine Server-Software einem anfragenden Client wie dem Python-Skript certbot eine Zeichenkette (Token). Der Antragsteller muss das Token im Webserverpfad so ablegen, dass es aus dem Internet über ein bestimmtes URL-Muster abgerufen werden kann (HTTP-Verifizierung).

Immer mehr Wissen. Das digitale Abo für IT und Technik.

  • Zugriff auf alle Inhalte von heise+
  • exklusive Tests, Ratgeber & Hintergründe: unabhängig, kritisch fundiert
  • c't, iX, Technology Review, Mac & i, Make, c't Fotografie direkt im Browser lesen
  • einmal anmelden – auf allen Geräten lesen - monatlich kündbar
  • erster Monat gratis, danach monatlich 9,95 €
  • Wöchentlicher Newsletter mit persönlichen Leseempfehlungen des Chefredakteurs
GRATIS-Monat beginnen Jetzt GRATIS-Monat beginnen Mehr Informationen zu heise+