Letsencrypt public beta: let's encrypt all web

letsencrypt ist seit ein paar Tagen in seiner öffentlichen Betaphase. Letsencrypt unterschreibt kostenlos TLS-Zertifikate und konfiguriert immer mehr Dienste automatisch. Ganz vorne dabei ist Apache, andere Services folgen. Wer genau hinguckt, kann eine beachtliche Verbreitung feststellen, zum Beispiel im ganzen Chaosumfeld: https://ccc.de, …. Wir werden vorerst auf www.ccczh.ch unser swisssing certificate weiter verwenden - ccczh.ch (ohne www prefix) und die weiteren Services werden folgen.

Jetzt ist es an uns Allen: Stellt bei allen Services TLS an. TLS mag nicht alle Authentifizierungsprobleme lösen, aber mit TLS reduziert ihr, wem ihr vertraut, vom ganzen Internet inklusige Geheimdiensten, Militär, Kriminellen auf die anerkannten CAs und natürlich eurem Kommunikationspartner. Das Problem, allen CAs vertrauen zu müssen wird zudem mit Certificate Pinning und Certificate Transperency entschärft.

Besonders notwendig ist TLS bei Softwaredownloads [2], zur Kommunikation mit anderen Menschen sind weiterhin End2End verschlüsselte Verfahren vorzuziehen, aber auch da macht Transportverschlüsselung unverschlüsselte Elemente für weniger Stellen einsehbar - bei emails: Subject, teilweise Empfänger, Useragents von Mailclients, …

Auch als user könnt ihr mit zur Verbreitung beitragen: fordert von Serviceanbietern TLS anzuschalten. Wechselt von Anbietern ohne TLS zur Konkurrenz. Sensibilisiert andere.

[2] Ausser natürlich eure Software ist anderweitig authentifiziert - die meisten Linux-Distributionen authentifizieren ihre Paket seit Langem mit GPG. Solltet ihr aber CD-Images o.Ä. laden, ist weiterhin HTTPS angesagt.