Let’s Encrypt und ACME-Protokoll

Let's Encrypt und das ACME-Protokoll

Bis 2016 war ein öffentlich vertrauenswürdiges TLS-Zertifikat für eine Website je nach Anbieter 50–300 Euro pro Jahr wert. Außerdem war der Prozess mühsam: CSR erstellen, einreichen, warten, Zertifikat manuell installieren, Ablauf im Kalender markieren, rechtzeitig erneuern. Let's Encrypt hat das revolutioniert: kostenlose, automatisierte, 90 Tage gültige Zertifikate. Heute laufen mehr als die Hälfte aller HTTPS-Websites weltweit mit Let's-Encrypt-Zertifikaten.

Der Schlüssel ist das ACME-Protokoll (Automatic Certificate Management Environment, RFC 8555). Es beschreibt wie ein Server vollautomatisch beweisen kann, dass er eine Domain kontrolliert – und dann automatisch ein Zertifikat erhält, installiert und bei Bedarf erneuert. Ein Mensch muss dabei nicht eingreifen.

1) Die drei ACME-Challenges – wie der Domainbesitz bewiesen wird

Die entscheidende Frage bei der Zertifikatsausstellung ist immer: „Kontrollierst du wirklich die Domain für die du ein Zertifikat willst?" Let's Encrypt löst das über automatisierte Challenges – Beweise, die ein Client erbringen muss. Es gibt drei verschiedene Challenge-Typen, die unterschiedliche Voraussetzungen haben. Klicke auf einen Typ für Details:

ACME-Challenge-Typen – klicke für Details

HTTP-01

Datei auf dem Webserver hinterlegen

Let's Encrypt verlangt eine bestimmte Datei unter http://domain/.well-known/acme-challenge/TOKEN. Der certbot-Client legt sie automatisch an. Let's Encrypt ruft sie ab und prüft den Inhalt. Einfachste Methode wenn Port 80 erreichbar ist. Kein Wildcard.

DNS-01

TXT-Eintrag in der DNS-Zone

Let's Encrypt verlangt einen TXT-Eintrag _acme-challenge.domain mit einem bestimmten Wert. Kein Webserver nötig. Unterstützt Wildcard-Zertifikate (*.domain). Erfordert DNS-API-Zugang für Automatisierung.

TLS-ALPN-01

TLS-Handshake auf Port 443

Validierung über TLS auf Port 443 ohne HTTP. Der Client präsentiert ein temporäres Zertifikat mit Challenge-Daten. Nützlich wenn nur Port 443 offen ist. Selten eingesetzt, da HTTP-01 meist einfacher ist.

Wildcard-Zertifikate (*.example.de) gelten für alle direkten Subdomains. Sie sind nur mit der DNS-01-Challenge möglich – weil für jede Subdomain nicht separat ein Webserver geprüft werden kann. Für die DNS-01-Challenge braucht certbot Schreibzugriff auf die DNS-Zone, z.B. über die API des DNS-Providers.

2) ACME-Ablauf mit certbot – animiert

certbot ist der offizielle ACME-Client für Let's Encrypt und ist auf allen gängigen Linux-Distributionen verfügbar. Er übernimmt den gesamten Prozess: Schlüssel generieren, CSR erstellen, Challenge lösen, Zertifikat installieren und automatisch erneuern. Der folgende Ablauf zeigt was im Hintergrund passiert wenn du certbot --nginx -d www.firma.de ausführst:

certbot ACME-Ablauf – Schritt für Schritt

certbot

certbot startet und kontaktiert die Let's-Encrypt-API. Neues Konto (oder bestehendes) mit E-Mail-Adresse registrieren.certbot --nginx -d www.firma.de

certbot

Order erstellen: certbot fragt Let's Encrypt nach einem Auftrag für www.firma.de. Let's Encrypt antwortet mit einer Challenge-URL und einem Token.

Challenge

certbot legt automatisch die Challenge-Datei an:/var/www/html/.well-known/acme-challenge/TOKENDann signalisiert es Let's Encrypt: „Jetzt prüfen!"

Let's Encrypt

Let's Encrypt ruft http://www.firma.de/.well-known/acme-challenge/TOKEN ab. Stimmt der Inhalt? Dann ist die Domain-Kontrolle bewiesen.

certbot

certbot generiert Schlüsselpaar und CSR, schickt ihn an Let's Encrypt. Let's Encrypt signiert das Zertifikat.

✓ Fertig

Zertifikat und Fullchain werden gespeichert. certbot konfiguriert nginx automatisch. Gültig für 90 Tage – certbot richtet einen Cron-Job für automatische Erneuerung ein./etc/letsencrypt/live/www.firma.de/fullchain.pem /etc/letsencrypt/live/www.firma.de/privkey.pem

Drücke „Nächster Schritt".

90 Tage Gültigkeit klingt kurz – ist aber Absicht. Kurzlebige Zertifikate zwingen zur Automatisierung (kein manuelles Erneuerungsprozess) und begrenzen den Schaden bei einer Kompromittierung. Ein gestohlener privater Schlüssel ist maximal 90 Tage nutzbar. certbot erneuert automatisch wenn noch 30 Tage Restlaufzeit: certbot renew --dry-run zum Testen.

3) Wichtige certbot-Befehle

Befehl	Was er tut
`certbot --nginx -d domain.de -d www.domain.de`	Zertifikat ausstellen und nginx automatisch konfigurieren
`certbot certonly --webroot -w /var/www/html -d domain.de`	Zertifikat ausstellen ohne Server-Konfiguration zu verändern
`certbot renew`	Alle ablaufenden Zertifikate erneuern
`certbot renew --dry-run`	Erneuerung testen ohne wirklich auszustellen
`certbot certificates`	Alle verwalteten Zertifikate und Ablaufdaten anzeigen
`certbot delete --cert-name domain.de`	Zertifikat löschen

Zusammenfassung

Let's Encrypt: kostenlos, automatisiert, 90 Tage gültig. ACME-Protokoll beweist Domain-Kontrolle per Challenge (HTTP-01, DNS-01, TLS-ALPN-01). certbot übernimmt den gesamten Prozess inklusive automatischer Erneuerung. Wildcard-Zertifikate nur per DNS-01. 90 Tage erzwingen Automatisierung – certbot renew läuft per Cron-Job.

Let’s Encrypt und ACME-Protokoll

1) Die drei ACME-Challenges – wie der Domainbesitz bewiesen wird

2) ACME-Ablauf mit certbot – animiert

3) Wichtige certbot-Befehle

Zusammenfassung

Anmelden

Account Registrieren und Fortschritt Speichern!

Modal title