Kostenloses HTTPS für jeden Server
Let's Encrypt ist eine gemeinnützige Zertifizierungsstelle, die kostenlose SSL-Zertifikate ausstellt. In Kombination mit dem Werkzeug Certbot wird daraus eine Sache von Minuten — inklusive automatischer Erneuerung. Ein eigenes, gültiges HTTPS-Zertifikat ist damit kein Kostenfaktor mehr, sondern Standard.
Certbot installieren und Zertifikat holen
Certbot liegt in den Paketquellen der gängigen Distributionen. Es bringt Plugins für die verbreiteten Webserver mit:
- nginx-Plugin: richtet das Zertifikat und die Weiterleitung auf HTTPS automatisch in der nginx-Konfiguration ein
- Apache-Plugin: dasselbe für Apache
- standalone: startet einen eigenen kurzen Webserver, wenn keiner läuft
Beim Ausführen fragt Certbot nach deiner Domain und richtet das Zertifikat passend ein.
Voraussetzung: die Domain zeigt auf den Server
Let's Encrypt prüft, ob du die Domain wirklich kontrollierst. Dafür muss der DNS-Eintrag der Domain auf die IP deines Servers zeigen und der entsprechende Port erreichbar sein. Ist das nicht der Fall, schlägt die Ausstellung fehl — der häufigste Stolperstein.
Automatische Erneuerung
Let's-Encrypt-Zertifikate sind nur 90 Tage gültig. Certbot richtet aber von selbst einen Timer ein, der rechtzeitig erneuert. Prüfe die Erneuerung einmal testweise im Trockenlauf — dann läuft sie zuverlässig im Hintergrund, ohne dass du daran denken musst.
Mehrere Domains und Wildcards
Certbot kann ein Zertifikat für mehrere Domains und Subdomains auf einmal ausstellen. Brauchst du ein Zertifikat für beliebig viele Subdomains — etwa *.deine-domain.de — geht das über ein Wildcard-Zertifikat. Dafür ist allerdings die DNS-Validierung nötig, bei der Certbot einen Eintrag in deiner DNS-Zone prüft. Das ist etwas aufwendiger als die normale Validierung, aber für größere Setups mit vielen Subdomains sehr praktisch.
Häufige Fragen
Wie lange ist ein Let's-Encrypt-Zertifikat gültig?
90 Tage. Certbot richtet aber automatisch eine Erneuerung ein, sodass du dich darum im laufenden Betrieb nicht kümmern musst.
Was, wenn die Ausstellung fehlschlägt?
Meist zeigt die Domain nicht korrekt auf den Server oder der nötige Port ist nicht erreichbar. Prüfe den DNS-Eintrag und die Firewall.
Kostet Let's Encrypt etwas?
Nein, die Zertifikate sind komplett kostenlos. Du brauchst lediglich eine Domain und einen Server, auf dem Certbot läuft.
Eigener Server für volle Kontrolle
Certbot und eigene Zertifikate setzen Root-Zugriff voraus. Einen vServer dafür gibt es bei Nytrix ab 1,99 €/mtl, in Minuten startklar und in der EU gehostet. Die passende Domain dazu ab 5,99 €/Jahr.