Der nächste Schritt hin zu einer anerkannten Zertifizierungsstelle ist getan: Als Mitglied im CA/Browser Forum bewegt sich Let’s Encrypt nun auf Augenhöhe mit Comodo, Symantec & Co.
Die Zertifizierungsstelle (CA) Let’s Encrypt ist dem CA/Browser Forum beigetreten, teilte die Initiative über Twitter mit. Das ist auch einem Eintrag im Forum der CA zu entnehmen. Eine offizielle Stellungnahme steht noch aus. Auch in der Mitglieder-Liste des CA/Browser Forums findet sich Let’s Encrypt noch nicht.
Das CA/Browser Forum definiert Sicherheitsstandards für CAs und Webbrowser und ist somit ein zentrales Konsortium, wenn es um die Verschlüsselung im Internet geht. Wer mitmischen möchte, muss sich an die Spielregeln des Forums halten. CAs müssen etwa vorgeschriebene Sicherheitsprüfungen (Audits) durchlaufen, um Zertifikate ausstellen zu dürfen und als Root-CA zu gelten. Let’s Encrypt hat seine Prüfungsberichte Ende vergangenen Jahres veröffentlicht.
In dem Forum sind 50 Root-CAs organisiert. Darunter zum Beispiel Comodo, GlobalSign und Symantec. Auch Anbieter von Webbrowsern wie Apple, Google und Microsoft zählen zu den Mitgliedern.
Auf dem Weg zur Root-CA?
Aktuell setzt Let’s Encrypt noch auf ein Intermediate-Zertifikat, dass IdenTrust unterschreibt. Diese Cross-Zertifizierung kommt zum Einsatz, da Betriebssysteme und Webbrowser IdenTrust bereits vertrauen; Let’s Encrypt aber noch nicht. Mit der Aufnahme in das CA/Browser Forum könnte sich das ändern und Let’s Encrypt in Zukunft von Webbrowsern als Root-CA anerkannt werden. Wie die Initiative gegenüber heise Security mitteilte, haben sie dafür bereits alles Notwendige in die Wege geleitet.
Das Projekt haben unter anderem die Electronic Frontier Foundation (EFF) und Mozilla ins Leben gerufen. Die CA machte Ende 2014 das erste Mal von sich reden und startete Ende vergangenen Jahres die öffentliche Beta. Seitdem kann sich jeder Server-Betreiber kostenlos Zertifikate ausstellen lassen. Jüngst gab Let’s Encrypt bekannt, dass bereits über 1 Million Zertifikate ausgestellt wurden.
[UPDATE, 18.03.2016 16:00 Uhr]
Aussage von Let’s Encrypt in Bezug auf Root-CA eingefügt. (des)