Was ist Let's Encrypt und wie funktioniert kostenloses SSL?

Was ist Let's Encrypt ist eine Frage, auf die früher oder später fast jeder stößt, der seine Website auf HTTPS umstellen möchte. Kurz gesagt ist Let's Encrypt die weltweit am häufigsten genutzte kostenlose Zertifizierungsstelle und stellt jeden Tag SSL/TLS-Zertifikate für Millionen von Domains aus. In diesem Artikel erklären wir Schritt für Schritt, was Let's Encrypt ist, wie kostenloses SSL funktioniert und warum der gesamte Prozess so stark automatisiert ist.

Was ist Let's Encrypt

Let's Encrypt ist eine kostenlose, automatisierte und offene Zertifizierungsstelle (CA), die von der gemeinnützigen ISRG (Internet Security Research Group) betrieben wird. Sie verfolgt ein einziges Ziel: das gesamte Web mit HTTPS zu verschlüsseln. Die Zertifikate sind kostenlos, weil die ISRG das Projekt über Sponsoren und Spenden finanziert und die Infrastruktur gemeinschaftlich bezahlt, statt pro Zertifikat abzurechnen.

Let's Encrypt stellt ausschließlich DV-Zertifikate (Domain Validation) aus. Das Zertifikat belegt also, dass Sie die Domain kontrollieren; es überprüft nicht Ihre Unternehmensidentität oder juristische Person. Für die allermeisten Blogs, Firmenseiten und Onlineshops ist das mehr als ausreichend.

Wie es funktioniert (ACME + Validierung)

Der Zauber steckt im ACME-Protokoll (Automatic Certificate Management Environment). ACME ist ein offener Standard, der das Anfordern, Validieren und Ausliefern von Zertifikaten vollständig automatisiert. Es kommuniziert zwischen einem Client und den Let's-Encrypt-Servern ganz ohne menschliches Zutun.

Bevor ein Zertifikat ausgestellt wird, müssen Sie nachweisen, dass Sie die Domain wirklich kontrollieren. Es gibt zwei Hauptmethoden zur Validierung:

  • HTTP-01: Let's Encrypt gibt Ihnen ein Token, das Sie als Datei unter einem bestimmten Pfad auf Ihrem Server (/.well-known/acme-challenge/) ablegen. Let's Encrypt liest diese Datei über HTTP und bestätigt so Ihre Kontrolle über die Domain.
  • DNS-01: Sie tragen einen Ihnen mitgeteilten Wert als TXT-Eintrag in Ihre DNS-Zone ein. Let's Encrypt fragt diesen Eintrag zur Validierung ab. Diese Methode ist erforderlich, wenn Sie keine Datei auf dem Server ablegen können, sowie für Wildcard-Zertifikate.

Nach erfolgreicher Validierung signiert Let's Encrypt das Zertifikat und liefert es aus. Ein typischer ACME-Ablauf sieht so aus:

1. Konto erstellen / Schlüssel erzeugen
2. Zertifikatsbestellung senden
3. Validierung: HTTP-01-Datei oder DNS-01-TXT-Eintrag
4. Let's Encrypt prüft
5. Zertifikat signiert und heruntergeladen

Wer das nicht von Hand erledigen möchte, nutzt unser kostenloser SSL-Assistent, der den Vorgang in Minuten abschließt; Sie geben einfach Ihre Domain ein und bestätigen die Validierung.

Warum 90 Tage

Let's-Encrypt-Zertifikate sind nur 90 Tage gültig. Das klingt zunächst kurz, ist aber eine bewusste Sicherheitsentscheidung:

  1. Es fördert die Automatisierung: Eine kurze Laufzeit macht die manuelle Erneuerung unpraktisch und drängt alle zur Automatisierung. Ein automatisch erneuertes Zertifikat ist weit sicherer als eines, das abläuft, weil es vergessen wurde.
  2. Es begrenzt die Auswirkungen eines geleakten Schlüssels: Wird Ihr privater Schlüssel kompromittiert, hält der Schaden höchstens 90 Tage an. Bei Jahreszertifikaten ist dieses Risikofenster viel größer.
Kurzlebige Zertifikate sind keine Schwäche für die Gesundheit des Internets, sondern im Gegenteil ein Eckpfeiler moderner Sicherheit.

Ist es vertrauenswürdig

Ja. Let's-Encrypt-Zertifikate werden von allen großen Browsern (Chrome, Firefox, Safari, Edge) und Betriebssystemen als vertrauenswürdig eingestuft. Der Grund: Die Wurzelzertifikate von Let's Encrypt sind in den Trust Stores dieser Plattformen enthalten. Sie bieten dieselbe Verschlüsselungsstärke (in der Regel dieselben TLS-Standards) wie ein kostenpflichtiges Zertifikat, und das Schloss-Symbol in der Adressleiste sieht genau gleich aus.

Seine Grenzen (DV, Wildcard, kein OV/EV)

Let's Encrypt ist leistungsstark, kann aber nicht alles. Seine Grenzen zu kennen, ist wichtig:

  • Es stellt nur DV-Zertifikate aus; es bietet kein OV oder EV (Organisations-/erweiterte Validierung). Wer einen Firmennamen im Browser anzeigen möchte, muss sich an eine kommerzielle CA wenden.
  • Wildcard-Zertifikate (*.beispiel.de) lassen sich nur mit DNS-01-Validierung beziehen; HTTP-01 funktioniert für Wildcards nicht.
  • Es enthält keine kommerziellen Extras wie Versicherung, Garantien oder eine grüne Adressleiste.

Zusammenfassung

Let's Encrypt ist eine kostenlose DV-Zertifizierungsstelle, die von der ISRG betrieben und über das ACME-Protokoll vollständig automatisiert wird. Sie validiert den Domain-Besitz per HTTP-01 und DNS-01, erhöht die Sicherheit mit kurzlebigen 90-Tage-Zertifikaten und wird von jedem großen Browser als vertrauenswürdig anerkannt. Der einzige Nachteil: Kommandozeilen-Tools können für Einsteiger kompliziert wirken. Genau hier kommt unser kostenloser SSL-Assistent ins Spiel: keine Anmeldung nötig, Sie geben Ihre Domain ein, schließen die Validierung ab und laden Ihre CRT-, KEY-, CA-Bundle-, Fullchain- und PFX-Dateien in einem einzigen ZIP herunter. Nutzen Sie die volle Leistung von Let's Encrypt in Minuten, ganz ohne technisches Wissen.