Viele Webserver im Internet übertragen personenbezogene- aber auch andere schutzwürdige Daten an die Webbrowser Ihre Besucher. Nach §9 BDSG ist es notwendig sicherzustellen, dass kein Unbefugter während des Transports diese Daten lesen, kopieren oder gar verändern kann. Die für die Absicherung notwendigen Zertifikate musste man sich bisher teuer von Zertifizierungsstellen kaufen – ein erhebliches Hindernis für Privatpersonen und NGOs, aber auch staatliche soziale Einrichtungen.
Seit Anfang Dezember hat die Public Beta-Phase der freien Zertifizierungsstelle (CA) „Let's encrypt“ begonnen. Interessierte können sich kostenlos mit einem Zertifikat für ihre Webserver versorgen, das von allen gängigen Webbrowsers als „gültig“ gekennzeichnet wird.
Der Transportweg vom Webserver zum Webbrowser wird über das Internet mit dem HTTPS-Protokoll realisiert. Hierfür ist ein solche digitales Zertifikat notwendig, das auf dem Webserver installiert ist und seine Webadresse bestätigt. Der Webbrowser prüft das Zertifikat und warnt den Benutzer, wenn es nicht zu der Adresse des Webservers passt. Damit nicht jeder ein Zertifikat für einen beliebigen Webserver ausstellen kann, akzeptieren die gängigen Webbrowser nur solche, die von verlässlichen Ausstellern erstellt wurden.
Genau diese Verlässlichkeit hat sich die neue Zertifizierungsstelle von der Firma IdentTrust (en) bestätigen lassen und damit die Akzeptanz der gängigen Webbrowser erreicht. Hinter „Let's encrypt“ steckt die von der Electronic Frontier Foundation (EFF), Mozilla und anderen gegründete non-profit Organisation Internet Security Research Group (ISRG), die mit Sponsoren wie Facebook ihre Arbeit finanziert.
Auch wenn es verlockend erscheint, ein solches kostenloses Zertifikat auch hierzulande zu verwenden, sollte man sich im Klaren darüber sein, dass es die Gesetze der Vereinigten Staaten von Amerika deren Geheimdiensten ohne richterlichen Beschluss erlauben, solche Zertifikate ausländischer Bürger und Organisationen zu kompromittieren. Somit besteht bei diesen Zertifikaten immer die Gefahr, dass der Transportweg eben doch nicht abgesichert ist. Dies sollte den Initiativen wie Deutschland sicher im Netz e. V. oder E-Mail made in Germany einen Denkanstoß geben, eine solche freie und kostenlose Zertifizierungsstelle auch hier in Deutschland zu realisieren.