Anleitung: Let's Encrypt Zertifikate manuell bereitstellen ‐ Seite 1/2

UPDATE vom 09.07.2021: Vollständige Überarbeitung der Anleitung, da certbot-auto nicht mehr unterstützt wird. Alte Installationen von letsencrypt lassen sich zwar weiterhin nutzen, doch neue Installationen sind nicht mehr möglich. Die neue Variante über certbot gestaltet sich letztendlich genauso simpel.

Wer seine Webseite im Shared-Hosting liegen hat, kann die kostenlosen SSL-Zertifikate von Let's Encrypt oft nicht ohne weiteres einbinden. Anbieter wie Hosteurope und dessen Mutterkonzern GoDaddy erlauben zumindest eine manuelle Einbindung der Zertifikate und verweisen für deren Erstellung auf Dienste wie ZeroSSL oder SSLforfree, doch diese haben ihr Geschäftsmodell inzwischen umgestellt und wollen nun eigene Zertifikate verkaufen. Aber es gibt einen Ausweg.

Die Automatisierung wäre so einfach

Zunächst einmal müssen wir festhalten, dass die manuelle Erneuerung der Zertifikate ein ziemlicher Krampf ist. Die Zertifikate von Let's Encrypt haben lediglich eine Gültigkeit von 90 Tagen, so dass man diese mindestens viermal pro Jahr austauschen muss. Mit Root-Rechten oder vorinstallierten Konfigurationswerkzeugen wie Plesk lässt sich dieser Austausch automatisieren, doch wenn diese Mittel fehlen, wird das Ganze sehr fummelig. Für die Webhoster wäre die Integration von Let's Encrypt ein Kinderspiel, doch Zertifikate sind ein lukratives Zusatzgeschäft, auf das die meisten nicht verzichten wollen. Natürlich bleibt dem Kunden die Möglichkeit, zu einem Mitbewerber mit Let's-Encrypt-Integration zu wechseln, doch auch der Umzug einer Webpräsenz kann einen sehr großen Aufwand bedeuten.

Doch zur Not geht es auch zu Fuß

Kann man den Webserver nicht dazu bringen, die Zertifikate selbst anzufordern und in seinem Zertifikatspeicher zu installieren, muss man die entsprechende Anfrage von einem Drittrechner aus stellen. Dieser Drittrechner kann allerdings nicht die Eigentümerschaft für die auf dem Server gehosteten Domains belegen, weshalb man diese mit Hilfe von hochzuladenden Textdateien (HTTP-Verifikation) oder DNS-Einträge bestätigen muss. Und da es für Anfragen im manuellen Modus keine Wildcard-Zertifikate gibt, muss jede einzelne Domain und jede einzelne Subdomain auf die gewünschte Weise verifiziert werden. Für viele Nutzer ist das alles ein Buch mit sieben Siegeln, weshalb die geführte Zertifikaterstellung über Dienste wie ZeroSSL oder SSLforfree sehr beliebt war und auch von Hosteurope sowie Let's Encrypt selbst empfohlen wurde.

Und auch ohne die Hilfestellung Dritter

Doch im Frühjahr 2020 hatte ZeroSSL sein Geschäftsmodell umgestellt und kommerzialisiert: Kostenlos gibt es nur noch drei Zertifikate mit einer Laufzeit von 90 Tagen und auch das nur nach einer Registrierung. Wenig später folgte auch SSLforfree diesem Beispiel und übernahm das Modell von ZeroSSL. Die Möglichkeit, Let's-Encrypt-Zertifikate im manuellen Modus über einen Drittrechner abzuholen, besteht zwar weiterhin, doch nun muss man wirklich selbst Hand anlegen. Und da Let's Encrypt voll und ganz auf die automatisierte Zertifikaterneuerung setzt, was verständlich und auch richtig ist, wird die manuelle Variante sehr stiefmütterlich behandelt und ist kaum dokumentiert. Webseitenbetreibern, deren Hoster die Integration von Let's Encrypt verweigern, ist dies natürlich keine Hilfe.