10 Jahre Let’s Encrypt

 (letsencrypt.org)
11 Punkte von GN⁺ 2025-12-10 | 1 Kommentare | Auf WhatsApp teilen
  • Seit der ersten Ausstellung eines öffentlich vertrauenswürdigen Zertifikats im Jahr 2015 ist Let’s Encrypt zur größten Zertifizierungsstelle (CA) der Welt gewachsen, die die meisten Zertifikate ausstellt
  • Mit automatisierungsbasierter Skalierbarkeit als Kern stellt Let’s Encrypt täglich mehr als 10 Millionen Zertifikate aus und nähert sich dem Schutz von rund 1 Milliarde Websites
  • Durch die Erhöhung des Anteils verschlüsselter HTTPS-Verbindungen weltweit von unter 30 % auf etwa 80 % hat Let’s Encrypt zur Verbesserung der Websicherheit beigetragen
  • Durch die kontinuierliche Ergänzung von Funktionen wie internationalisierten Domains, Wildcard-, Kurzzeit- und IP-Zertifikaten sowie die Stärkung der Infrastrukturleistung
  • Unterstützt von der gemeinnützigen Organisation ISRG setzt Let’s Encrypt seine Mission fort, durch kostenlose, automatisierte Sicherheitsinfrastruktur die Hürden für den Zugang zum Internet zu senken

10 Jahre Let’s Encrypt

  • Seit der ersten Ausstellung eines öffentlich vertrauenswürdigen Zertifikats am 14. September 2015 stellt Let’s Encrypt über Automatisierungssoftware Zertifikate bereit, denen die meisten Clients vertrauen können
    • Seitdem wurden Milliarden von Zertifikaten ausgestellt, und Let’s Encrypt ist zur größten Zertifizierungsstelle der Welt gewachsen
    • Das ACME-Protokoll wurde im gesamten Server-Ökosystem integriert und hat sich unter Systemadministratoren als Standard etabliert
  • 2023 jährte sich auch die Gründung der gemeinnützigen Mutterorganisation Internet Security Research Group (ISRG) zum 10. Mal
    • Gemeinsam mit Let’s Encrypt betreibt sie weiterhin Infrastrukturprojekte für das Gemeinwohl

Wachstum und Skalierung

  • Im März 2016 wurde das einmillionste Zertifikat ausgestellt, im September 2018 wurden 1 Million pro Tag erreicht, und 2020 wurde die Marke von 1 Milliarde kumulativ ausgestellten Zertifikaten überschritten
    • Ende 2025 liegt die Zahl bei mehr als 10 Millionen ausgestellten Zertifikaten pro Tag
    • Die Zahl aktiver Websites nähert sich etwa 1 Milliarde
  • Das Wachstum des Ausstellungsvolumens belegt die Stabilität der Architektur und den Erfolg der Automatisierungsvision
    • Das Ausstellungsvolumen von Zertifikaten ist nur ein indirekter Indikator; entscheidend ist die höhere Verbreitung von HTTPS
    • Laut Firefox-Statistiken stieg der Anteil von HTTPS-Verbindungen innerhalb von fünf Jahren von unter 30 % auf über 80 %
    • In den USA liegt er stabil bei etwa 95 %

Technische Weiterentwicklung und Verbesserungen der Infrastruktur

  • 2016 Unterstützung für internationalisierte Domains (IDN), 2018 Wildcard-Zertifikate, 2025 Einführung von Kurzzeit- und IP-Zertifikaten
  • 2021 wurde durch ein Upgrade der Datenbankserver die Verarbeitung großer Datenmengen verbessert
    • Das interne Netzwerk wurde von Gigabit- auf 25-Gigabit-Ethernet umgestellt
  • 2025 wurde entschieden, Verbesserungen an der Struktur der Certificate-Transparency-Logs zu erproben und auszurollen
    • Dazu werden Architektur-Upgrades vorangetrieben, um dem weiteren Wachstum gerecht zu werden

Vertrauensmodell und Standardisierungsarbeit

  • Durch die Cross-Signatur von IdenTrust war die anfängliche Ausstellung öffentlich vertrauenswürdiger Zertifikate möglich
    • Danach wurden eigene Root-CA-Zertifikate aufgebaut und verteilt
  • In Zusammenarbeit mit dem CA/B Forum, der IETF, Browser-Root-Programmen und anderen leistet Let’s Encrypt Beiträge zur Weiterentwicklung der Web-PKI
  • Dazu gehören PKI-Engineering wie Zertifikatskettenverwaltung, Key Ceremonies und Dokumentation

Automatisierungsphilosophie und gesellschaftlicher Wert

  • Ziel ist die vollständige Automatisierung der Web-PKI, also eine Umgebung, in der Website-Betreiber sich um Zertifikate gar nicht mehr kümmern müssen
    • Je erfolgreicher die Automatisierung, desto größer das Risiko, dass der Dienst als „selbstverständlich“ wahrgenommen wird
    • Deshalb wird die Bedeutung kontinuierlicher Aufklärung und der Sicherung von Unterstützung betont
  • Die Community unterstützt das Projekt durch die tägliche Nutzung von zig Millionen Zertifikaten und durch Spendenbeteiligung
  • Auszeichnungen wie der Levchin Prize (2022), der O’Reilly Open Source Award (2019) und der IEEE Cybersecurity Award (2025)
  • 2019 wurde die Geschichte und das Design des Projekts durch einen Fachaufsatz auf der ACM CCS auch wissenschaftlich dokumentiert

Partnerschaften und Zukunftsvision

  • Der Start wurde durch frühe Förderer wie Mozilla, EFF, Cisco, Akamai und IdenTrust ermöglicht
    • Insbesondere IdenTrust spielte mit der Bereitstellung der Cross-Signatur eine Schlüsselrolle für die Realisierung eines öffentlich vertrauenswürdigen Zertifikatsdienstes
  • In den kommenden zehn Jahren sollen die finanziellen, technischen und informationellen Hürden gesenkt werden, um ein sichereres und datenschutzfreundlicheres Internet aufzubauen
  • Let’s Encrypt ist ein Projekt der gemeinnützigen ISRG und wird weiterhin durch Spenden und Sponsoring getragen

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2025-12-10
Hacker-News-Kommentare

  • Dank Let's Encrypt ist es heute kaum noch vorstellbar, dass es Websites ohne TLS gibt
    Der CEO einer früheren Firma lehnte die Nutzung ab, weil „kostenlose Zertifikate für Kunden billig wirken“, aber das war wirklich völlig unsinnig
    Es war die größte Zertifizierungsstelle der Welt, und kein Kunde hat sich je dafür interessiert, von welcher Stelle ein Zertifikat ausgestellt wurde
    Ich frage mich, ob andere jemals negatives Feedback zur Nutzung von Let's Encrypt bekommen haben

    • Manche Hosting-Anbieter verhinderten die Nutzung externer Zertifikate, damit sie nur ihre eigenen kostenpflichtigen Zertifikate verkaufen konnten
      Sie blockierten SSH- oder Container-Zugriff, sodass sich kostenlose Zertifikate nicht installieren ließen, und setzten die Preise ihrer eigenen Zertifikate absurd hoch an
      Wenn technisch ahnungslose Politiker das verstanden hätten, wäre das ein Preisabsprachen-Skandal geworden
    • Aus Sicht eines CEOs im Jahr 2022 ist das nachvollziehbar, weil EV-Zertifikate noch nicht lange verschwunden waren
      Mit Chrome 77 und Firefox 70 (2019) verschwand die EV-Visualisierung, und manche konnten sich an die Änderung danach nicht anpassen
      Passender Artikel: Extended Validation Certificates Are Really, Really Dead
    • Ich habe einmal auf das abgelaufene Zertifikat der Porsche-Website hingewiesen, und innerhalb weniger Stunden wurde es durch Let's Encrypt ersetzt
      Das hat mich damals wirklich überrascht, und ich finde, Let's Encrypt ist für das Internet wie eine SSD — es fühlt sich wie ein Upgrade um eine Stufe an
    • Es gab einmal eine Zeit, in der EV-Zertifikate als vertrauenswürdiger galten als DV
      Browser zeigten EV-Zertifikate besonders an, aber diese Ära ist jetzt vorbei
      Weil der Erneuerungsprozess umständlich war, ist es im Alltag besser geworden, aber irgendwie gibt es auch ein Gefühl von Verlust
    • Vor etwa 15 Jahren hatten EV-Zertifikate im Vertrieb noch Bedeutung, aber seitdem kümmert sich niemand mehr darum

  • TLS vor Let's Encrypt war wirklich schrecklich
    Man musste pro Host zahlen, die Domain manuell validieren und die Erneuerung jedes Jahr verwalten
    Heute installiert man einmal einen ACME-Client, und das war’s; der HTTPS-Anteil stieg in nur wenigen Jahren von 30 % auf 80–95 %
    Die eigentliche Innovation wurde durch Automatisierung (ACME) und die Non-Profit-Struktur möglich
    Künftig soll die Zertifikatslaufzeit auf 45 Tage sinken, sodass manuelle Installation unmöglich werden wird
    In Bereichen wie IoT oder internen Dashboards fehlt es aber noch an Automatisierung

    • Früher waren Zertifikate 3 Jahre gültig, und 2-Jahres-Zertifikate tauchten erst 2018 auf
      Let's Encrypt hat schon davor die Automatisierung mit kurzen Zyklen vorangetrieben
    • Früher konnte man ein kostenloses 3-Jahres-Zertifikat installieren und es dann vergessen, aber inzwischen gibt es oft abgelaufene Websites, was lästig ist
      Ich finde, die US-IT-Branche hat die guten CAs verdrängt
    • Während eine Firma gerade ihren Stack umstellte, wollte sie ein temporäres Zertifikat kaufen, aber wegen Dutzender Wildcard-Subdomains kostete ein einjähriges Zertifikat 30.000 Dollar
      Deshalb wurde eine eigene CA gebaut und auf internen Servern installiert, bevor man am Ende doch wieder zu Let's Encrypt zurückkehrte
      Heute ist es kaum zu glauben, dass es für solch teure Zertifikate überhaupt einen Markt gab
    • Im IoT-Bereich fände ich es gut, wenn das Matter-Protokoll ACME-Funktionalität bekäme, sodass der Hub als eigene CA fungieren kann
      Realistisch ist das bei günstiger Hardware wohl schwierig, aber ich träume davon

  • Als ich etwa von 2007 bis 2011 Systemadministrator war, habe ich mit openssl selbst CSRs erzeugt, Zertifikate bei GoDaddy gekauft und sie manuell ausgerollt
    Wenn ich heute daran denke, fühlt es sich an, als hätte sich die Welt komplett verändert
    Let's Encrypt ist einer der großartigsten Dienste in der Geschichte des Internets

    • So einen Dienst hätte ich auch gern für S/MIME
    • Damals war das wirklich eine endlose Folge langweiliger und lästiger Arbeiten
    • Noch vor ein paar Jahren habe ich das alles manuell gemacht, bis mir ein Freund Let's Encrypt zeigte — es war wie Magie

  • Auch die Snowden-Affäre war ein wichtiger Auslöser für die Verbreitung von TLS
    Davor ging man davon aus, dass nur Seiten mit Geldtransaktionen TLS brauchen, und Traffic ließ sich leicht mitsniffen
    In einem Vortrag, den ein IRS-Ermittler um 2008 hielt, sagte er, dass Verschlüsselung beim Aufspüren illegaler Casinos überhaupt kein Hindernis gewesen sei

    • Das ist allerdings eine nachträgliche Umdeutung (retcon)
      Facebook führte TLS 2011 ein, und Google Mail nutzte 2010 standardmäßig TLS
      Um 2010 wurden Websites ohne TLS bereits als Sicherheitslücke eingestuft
    • Tatsächlich wurde HTTPS schon Ende der 2000er durch werbeinjektierendes HTTP faktisch unverzichtbar
      Der Schutz von Werbeeinnahmen war ein stärkerer Treiber als die NSA

  • Es ist gut, dass die Verschlüsselung des Web-Traffics zum Standard geworden ist, aber schade ist, dass man Grundfunktionen nun ohne die Genehmigung einer CA nicht mehr nutzen kann

    • Ich würde gern fragen, was mit „Genehmigung einer CA“ gemeint ist
      Let's Encrypt prüft nur den Besitz der Domain und hat nichts mit dem Inhalt der Website zu tun
      Passender Artikel: Phishing and Malware
    • Das ist kein neues Problem, sondern ein altes strukturelles Problem, das Let's Encrypt nicht lösen konnte
      Im gesamten Stack gibt es viele solcher Single Points of Failure
    • DNS ist faktisch ebenfalls unverzichtbar, daher ist die Lage ähnlich
      Auch große Zertifizierungsstellen oder TLDs fragen nicht nach der Art einer Website

  • Als Let's Encrypt angekündigt wurde, dachte ich: „Gute Idee, aber werden die Browser das akzeptieren?“
    Heute nutze ich es für alle selbstgehosteten Websites, und auch meine Firma will auf automatische Erneuerung umstellen
    Wenn ich an die früheren SSL/TLS-Schmerzen denke, muss ich jedes Mal lächeln, wenn ich für eine neue Website ein LE-Zertifikat bekomme

  • Ich hoffe, dass Let's Encrypt seine Unabhängigkeit bewahrt und nicht von einem Großkonzern wie Google übernommen wird
    Eine Welt, in der die SSL-Ausstellung als Zensurwerkzeug missbraucht wird, wäre furchtbar
    Heute lassen Browser HTTP-Seiten fast schon bösartig wirken

    • Wenn Google zensieren wollte, hätte es stärkere Mittel als SSL, etwa eine Safe-Browsing-Blacklist
    • Let's Encrypt ist eine Non-Profit-Organisation und kann daher nicht wie ein gewöhnliches Unternehmen übernommen werden
      Nach US-Steuerrecht müssen Non-Profit-Vermögenswerte im Non-Profit-Bereich bleiben, daher besteht kein Risiko, dass ein Großkonzern es ruiniert

  • Jedes Jahr steht Let's Encrypt auf meiner Spendenliste
    In einer Zeit, in der alle Browser HTTPS verlangen, hätten es Indie-Entwickler ohne diesen Dienst schwer gehabt durchzuhalten
    Es ist wirklich ein großartiges Projekt

  • Die letzten 10 Jahre waren großartig
    Als Nächstes braucht es Dezentralisierung der Ausstellungsinfrastruktur und mehr Resilienz
    Auf Inseln fällt das Internet oft aus, und kürzere Zertifikatslaufzeiten könnten dadurch problematisch werden
    Ich hoffe auf den Aufbau regionaler Ausstellungssysteme in Zusammenarbeit mit ccTLD-Registraren

  • Ich nutze Let's Encrypt seit 7 Jahren
    Dadurch konnte ich meinen Blog und persönliche Projekte mit HTTPS betreiben, und das hat mein Leben deutlich verbessert
    Für Dinge wie Nextcloud hätte ich wahrscheinlich nicht jedes Jahr 50 Dollar bezahlt, aber der Sicherheitsgewinn ist enorm
    Vielen Dank an alle, die die Welt damit ein kleines Stück besser gemacht haben