Certification Authority Lets Authority

Fünf Monate Let’s Encrypt: Hier steht die Certification Authority aus Kalifornien heute

Zuletzt aktualisiert am

Die kostenlosen SSL-Zertifikate von Let’s Encrypt haben eine wichtige Entwicklung auf dem deutschen Hostingmarkt angestoßen: Der Schutz persönlicher Daten auf der eigenen Website ist mittlerweile fast überall kostenlos. Doch wie hat sich die Initiative, die als Certification Authority kostenlose SSL-Zertifikate für Jedermann ausstellt, bisher geschlagen? Ein detaillierter Blick auf die Entwicklung.

Ein SSL-Zertifikat bringt spätestens seit der Einführung des HTTP/2 Standards vielerlei Vorteile. Nicht nur werden personenbezogene Daten zuverlässig verschlüsselt, auch lädt die Website schneller. Zudem macht HTTPS – also die sichere Variante des Hypertext Transfer Protokolls – Websites zukunftssicher. Denn Google hat am 8. September angekündigt ab 2017 in Chrome Webseiten ohne SSL-Zertifikat als unsicher zu markieren. Google kommt damit seinem selbsterklärten Ziel des “HTTPS everywhere” immer näher.

Certification Authority Let's Encrypt – Google Chrome HTTPS Markierung
Mit der neuen Anzeige würden auch Seiten absolut vertrauenswürdiger Anbieter mit einem roten Warnsignal versehen. Bei Medien wie der t3n ist dies in der Regel kein Problem, weil die Leser dem Medium vertrauen. Weniger bekannte Seiten kann Googles Warnhinweis jedoch Leser und Kunden kosten.

 

Let’s Encrypt spielt in diesem Zusammenhang eine wichtige Rolle. Denn die Initiative aus Kalifornien gibt an Jedermann kostenlose SSL-Zertifikate aus. Dies ermöglicht es jedem Seitenbetreiber SSL kostenlos und auch verhältnismäßig einfach einzurichten. Und die US-Amerikanische Certification Authority hat bereits Einfluss auf den deutschen Hostingmarkt genommen. Denn viele Hoster bieten schon heute kostenlose Zertifikate an. Manche haben Let’s Encrypt integriert, andere bieten kostenlose Zertifikate anderer Anbieter an.

Der Erfolg von Let’s Encrypt ist somit nicht nur relevant für Seitenbetreiber, sondern auch für den deutschen Hostingmarkt.

Let’s Encrypt hat bisher mehr als 10.000.000 Zertifikate ausgestellt

Seitdem Let’s Encrypt im Mai diesen Jahres offiziell an den Start gegangen ist, überschlagen sich die Meilensteine: Zwei Millionen, fünf Millionen, vor Kurzem dann das zehnmillionste Zertifikat. Doch sind diese Zahlen nicht gleichbedeutend mit zehn Millionen über Let’s Encrypt-Zertifikate verschlüsselte Seiten. Vielmehr muss man sich der eigentlichen Zahl von mehreren Seiten nähern.

Schon am 23. April 2016, also bereits einige Tage vor dem offiziellen Start, konnte Let’s Encrypt sein zweimillionstes Zertifikat ausstellen. Schon 19 Tage später, am 9. Mai, waren die drei Millionen erreicht. Am dritten Juni waren es bereits vier Millionen Zertifikate, die fünf Millionen wurden dann am 19. Juni geknackt. Ende Juli waren es sieben Millionen und aktuell kann Let’s Encrypt mit 10,86 Millionen Zertifikaten schon mehr als doppelt so viele ausgegebene Zertifikate verbuchen wie Mitte Juni. Das klingt nach einem fulminanten Start. Doch was steckt tatsächlich hinter dieser Zahl?

Anzahl der kostenlosen SSL-Zertifikate der Let's Encrypt Certification Authority
Im August und September ist die Zahl der von Let’s Encrypt ausgestellten Zertifikate besonders stark angestiegen. Dies ist wohl auf die 90-tägige Laufzeit der kostenlosen SSL-Zertifikate zurückzuführen. Offizieller Marktstart war Mai 2016. Quelle: https://letsencrypt.org/stats/

Von den zehn Millionen ausgestellten Zertifikaten ist fast die Hälfte abgelaufen

Die Zahl 10.000.000 sagt zunächst einmal recht wenig aus. Denn sie enthält Datenmüll: Zertifikatserneuerungen, Mehrfachzertifizierungen und abgelaufene Zertifikate werden nämlich mitgezählt. Weiß man zudem, dass der Erneuerungszyklus für Let’s Encrypt-Zertifikate 90 Tage beträgt, relativiert sich die Zahl zusehends.

Informativer ist da schon die Zahl der aktuell gültigen Zertifikate: derzeit zählt Let’s Encrypt 5,51 Millionen gültige Zertifikate. Auch dies heißt zwar nicht, dass es tatsächlich so viele Seiten gibt, die mit Let’s Encrypt verschlüsselt werden. Aber die Zahl gibt schon einen ersten Näherungswert.

Gültige Zertifikate der Let's Encrypt Certification Authority
Es ist deutlich zu erkennen, dass die Zahl der gültigen Let’s Encrypt-Zertifikate von August bis September nur moderat zugenommen hat. Im September stagniert sie gar. Auch dies ist ein Hinweis darauf, dass viele Zertifikate im August und September erneuert wurden. Quelle: https://letsencrypt.org/stats/

7,88 Prozent der Zertifikate laufen auf .de-Seiten

Laut Let’s Encrypts eigener Dokumentation laufen 7,88 Prozent der Zertifikate auf .de Top-Level-Domains. Wobei Stichprobe und Grundgesamtheit, auf denen diese Zahl basiert, beziehungsweise auf die diese Zahl bezogen werden kann, nicht angegeben werden. Das macht die Interpretation recht schwer, weil man nichts über das Zustandekommen der Zahl weiß. Es ist wohl zu vermuten, dass es sich um die Anzahl der Seiten handelt, von denen Let’s Encrypt die TLD kennt.

Einen Schluss kann man hieraus jedoch ziehen: Die deutsche Top-Level-Domain ist mit 28.083 gezählten Seiten die stärkste länderspezifische TLD. Es folgen .ru, .uk, .fr und auch .cz. Beliebter sind länderunspezifsche TLDs wie .com aber auch .ninja, von der die Certification Authority ganze 30.967 zählt.

Anteile der TLDs an den bekannten Let's Encrypt Zertifikaten
Anzahl der Zertifikate nach Top-Level-Domains. .de ist die derzeit am stärksten vertretene TLD. Ebenfalls beliebt sind .ninja, .me und .io. Die Werte beziehen sich wohl auf alle Seiten, deren TLD der Certification Authority bekannt sind. Quelle: https://letsencrypt.org/stats/

Let’s Encrypt auf Platz 14 weltweit

Eine weitere gute Quelle sind die Daten von w3techs.com. Der Dienst erhebt, auf Grundlage von der von Alexa ausgegebenen Top zehn Millionen Websites der Welt, die Anteile bestimmter Internettechnologien. Die entsprechenden Websites werden gezielt nach bestimmten Technologien durchsucht. Wird ein Treffer erzielt, geht dieser in die Zählung ein. Näheres zur verwendeten Stichprobe findest du hier.

Laut w3techs ist die Let’s Encrypt mit 0,185 Prozent Marktanteil derzeit noch eine sehr kleine Certification Authority und bewegt sich im untersten Drittel des Marktes. Auch wenn man lediglich die Zertifizierungsstellen betrachtet, die weniger als ein Prozent Marktanteil auf sich vereinen, landet Let’s Encrypt auf den hinteren Plätzen. Sowohl bei der absoluten Nutzung als auch bezüglich des Marktanteils.

Marktanteil der Certification Authority Let's Encrypt
Seit Start der Beta konnte Let’s Encrypt stetig Marktanteile gewinnen. Der große Wurf, sprich der Übergang ins exponentielle Wachstum, lässt aber noch auf sich warten. Quelle: https://w3techs.com/technologies/details/sc-letsencrypt/all/all

Allerdings befindet sich IdenTrust, also die Zertifizierungsstelle, die die Root-Zertifikate für Let’s Encrypt liefert, auf Platz drei. Das ist ein gutes Zeichen. Denn wenn die Quelle der Root-Zertifikate hohe Vertrauenswürdigkeit genießt, dann sind auch die auf diesen Root-Zertifikaten basierenden Dienste tendenziell vertrauenswürdig.

Die Let's Encrypt Certification Authority im Vergleich zu anderen CAs
Let’s Encrypt ist in der Reihe der Certification Authorities deutlich abgeschlagen auf dem drittletzten Platz. IdenTrust hingegen kann sich Platz drei sichern. Wobei dazu gesagt werden muss, dass keine Informationen über die Vollständigkeit dieser Anbieterliste vorliegen. Quelle: https://w3techs.com/technologies/overview/ssl_certificate/all

Vor allem kleinere Seiten mit weniger Traffic nutzen Let’s Encrypt

Der größte Nachteil von Let’s Encrypt gegenüber kostenpflichtigen Zertifizierungsstellen ist nach wie vor die stark eingeschränkte Zertifikatsauswahl. Denn die US-Certification Authority bietet bisher nur eine Art von Zertifikat an: Ein domainvalidiertes. Erweiterte Funktionen, wie die berühmte grünen Adresszeile und erweiterte Validierungen – bspw. eines Unternehmens oder einer Organisation – sind mit Let’s Encrypt derzeit nicht möglich. Das heißt natürlich nicht, dass Let’s Encrypt-Zertifikate weniger sicher wären, nur eben, dass ihr Funktionsumfang beschränkt ist.

Beispiel einer OV Zertifizierung
Solche Zertifikate kann Let’s Encrypt bspw. nicht ausstellen. Ob höhere Validierungsstufen jemals kommen werden ist derzeit noch unsicher.

 

Eine Umsetzung erweiterter Funktionen ist aktuell nicht in Sicht. Denn die Validierung von Organisationen und Unternehmen verlangt nach Mannstunden und diese wiederum kosten Geld. Eine ausführliche Diskussion hierüber findet sich auch im Let’s Encrypt Forum.

Ergo nutzen vor allem kleinere Seiten Let’s Encrypt, die gut auf eine erweiterte Validierung verzichten können. Die w3techs-Daten zeigen deutlich, dass Let’s Encrypt derzeit vor allem von Seiten mit geringem bis mittlerem Traffic genutzt wird. Die größten Player am Markt hingegen bedienen eher Seiten mit durchschnittlich hohem Traffic. Denn bei diesen Zertifizierungsstellen handelt es sich um gewinnorientierte Unternehmen, die logischerweise die großen und damit kaufkräftigen Seiten als Kunden gewinnen wollen.

Scatterplot des Anbieterfeldes Certification Authority
Dieser Plot zeigt die derzeitige Platzierung der Let’s Encrypt Certification Authority im Vergleich zu anderen Playern. Auffällig: Sowohl Let’s Encrypt, als auch IdenTrust werden eher im Low-Traffic-Bereich genutzt. Quelle: https://w3techs.com/technologies/details/sc-letsencrypt/all/all

Fazit: Let’s Encrypt hat meiner Meinung nach noch riesiges Potenzial

Für einen Blick in die Kristallkugel sind weniger die Daten über die Seiten mit SSL-Zertifikat interessant, als vielmehr die Seiten, die bisher noch kein SSL-Zertifikat haben. Laut w3techs sind das 30,8 Prozent der Seiten. Zwar sind die Gründe für das Fehlen eines SSL-Zertifikats bei diesen Seiten nicht aufgeschlüsselt – für einen guten Prozentsatz davon dürften meiner Meinung nach aber die Kosten in Kombination mit den technischen Hürden die Haupthindernisse sein.

Beides wird nun durch Let’s Encrypt und dessen Integration in Bedienoberflächen, bspw. in den Dashboards von Hostinganbietern, stark vereinfacht. Je mehr Bekanntheit die kalifornische Initiative erlangt, desto kleiner dürfte auch die Zahl der Seiten werden, die kein SSL-Zertifikat haben.

Bisher scheint es so, dass Let’s Encrypt der Übergang ins exponentielle Wachstum noch nicht gelungen ist. Das könnte sich 2017 ändern, wenn Chrome damit beginnt Webseiten ohne HTTPS zu kennzeichnen. Auch wird das Verhalten anderer Browserhersteller in dieser Angelegenheit Einfluss auf die weitere Entwicklung haben. Die Entwicklung, die Let’s Encrypt angestoßen hat, ist aber in jedem Fall zu begrüßen, sowohl für die Seitenbetreiber, als auch für die Hostinganbieter.

Nutzt du bereits ein Let’s Encrypt Zertifikat oder hast Erfahrungen damit gemacht? Teile dein Wissen mit uns und anderen Nutzern. Als Sys-Admin von RAIDBOXES beantworte ich dir auch gerne Fragen zum Thema SSL.