Let's Encrypt ist eine gemeinnützige Zertifizierungsstelle, die kostenlose SSL-Zertifikate anbietet. Seit dem Start im Jahr 2015 hat Let's Encrypt die Verschlüsselung im Web revolutioniert und HTTPS für jeden zugänglich gemacht. In dieser Anleitung zeigen wir, wie Sie Let's Encrypt auf Ihrem Server einrichten.
Voraussetzungen
- Eine registrierte Domain, die auf Ihren Server zeigt
- Zugang zum Server per SSH (bei vServer oder Root-Server)
- Ein laufender Webserver (Apache oder Nginx)
- Port 80 und 443 müssen in der Firewall geöffnet sein
Installation mit Certbot
Certbot ist das offizielle Tool von Let's Encrypt zur automatischen Zertifikatsverwaltung. Die Installation variiert je nach Betriebssystem.
Certbot auf Debian/Ubuntu installieren
Auf Debian und Ubuntu kann Certbot über den Paketmanager installiert werden. Nach der Installation rufen Sie Certbot mit dem passenden Plugin für Ihren Webserver auf.
Certbot für Apache
Certbot kann Apache automatisch konfigurieren. Es erkennt Ihre Virtual Hosts und passt die Konfiguration an, um HTTPS zu aktivieren.
Certbot für Nginx
Für Nginx gibt es ein eigenes Plugin, das die Server-Blöcke automatisch anpasst und die Zertifikate in die Konfiguration einbindet.
Zertifikatstypen bei Let's Encrypt
| Typ | Beschreibung | Validierung | Geeignet für |
|---|---|---|---|
| Einzeldomain | Für eine einzelne Domain | HTTP-Challenge | Einfache Webseiten |
| Multi-Domain (SAN) | Mehrere Domains in einem Zertifikat | HTTP-Challenge | Mehrere Domains auf einem Server |
| Wildcard | Alle Subdomains einer Domain | DNS-Challenge | Viele Subdomains |
Wildcard-Zertifikate einrichten
Für Wildcard-Zertifikate (*.beispiel.de) ist eine DNS-Challenge erforderlich. Das bedeutet, Certbot erstellt einen TXT-Eintrag in Ihrem DNS, um die Domain-Kontrolle zu verifizieren. Viele DNS-Anbieter unterstützen die automatische DNS-Validierung über Certbot-Plugins.
Automatische Erneuerung
Let's Encrypt Zertifikate sind 90 Tage gültig und müssen regelmäßig erneuert werden. Certbot richtet automatisch einen Cron-Job oder Systemd-Timer ein, der die Erneuerung durchführt. Die Erneuerung erfolgt typischerweise 30 Tage vor Ablauf.
Testen Sie die automatische Erneuerung nach der Einrichtung mit einem Dry-Run, um sicherzustellen, dass alles funktioniert.
Let's Encrypt bei Shared Hosting
Bei Shared Hosting bieten die meisten Anbieter Let's Encrypt direkt über das Control Panel an. Mit einem Klick können Sie HTTPS für Ihre Domain aktivieren. Die Erneuerung erfolgt automatisch durch den Anbieter.
Sicherheits-Best-Practices
- Aktivieren Sie HSTS (HTTP Strict Transport Security) nach der SSL-Einrichtung
- Richten Sie eine 301-Weiterleitung von HTTP auf HTTPS ein
- Prüfen Sie Ihre SSL-Konfiguration mit Online-Tools auf Schwachstellen
- Verwenden Sie moderne TLS-Versionen (TLS 1.2 und 1.3)
- Deaktivieren Sie veraltete Verschlüsselungsalgorithmen
Rate Limits
Let's Encrypt hat Rate Limits, die die Anzahl der Zertifikate pro Domain begrenzen. Für die meisten Webseiten sind diese Limits kein Problem, aber bei vielen Subdomains oder häufigen Neuausstellungen sollten Sie die Limits kennen.
Fazit
Let's Encrypt macht SSL-Verschlüsselung kostenlos und einfach. Mit Certbot ist die Einrichtung in wenigen Minuten erledigt, und die automatische Erneuerung sorgt dafür, dass Ihre Zertifikate nie ablaufen. Es gibt keinen Grund, auf HTTPS zu verzichten. Sichern Sie Ihre Webseite und verbessern Sie damit Sicherheit, Vertrauen und SEO-Ranking.
Häufig gestellte Fragen
Ist Let's Encrypt wirklich kostenlos?
Ja, Let's Encrypt ist eine gemeinnützige Zertifizierungsstelle, die alle Zertifikate komplett kostenlos ausstellt. Es gibt keine versteckten Kosten oder Einschränkungen bei der Verschlüsselungsstärke.
Wie lange ist ein Let's-Encrypt-Zertifikat gültig?
Let's-Encrypt-Zertifikate sind 90 Tage gültig. Certbot richtet automatisch einen Timer ein, der das Zertifikat rechtzeitig vor Ablauf erneuert, sodass Sie sich nicht darum kümmern müssen.
Kann ich Let's Encrypt auf Shared Hosting nutzen?
Ja, die meisten Shared-Hosting-Anbieter bieten Let's Encrypt direkt über das Control Panel an. Sie können HTTPS dort mit wenigen Klicks aktivieren, ohne Certbot selbst installieren zu müssen.
Was ist Certbot und wofür brauche ich es?
Certbot ist das offizielle Kommandozeilen-Tool von Let's Encrypt zur automatischen Beantragung, Installation und Erneuerung von SSL-Zertifikaten. Es wird auf eigenen Servern (vServer oder Root-Server) benötigt.
Unterstützt Let's Encrypt Wildcard-Zertifikate?
Ja, Let's Encrypt unterstützt Wildcard-Zertifikate für alle Subdomains einer Domain. Dafür ist allerdings eine DNS-Challenge erforderlich, bei der ein TXT-Eintrag im DNS gesetzt werden muss.