LoadMaster integriert die automatischen Anmelde- und Erneuerungsprozesse von Let's Encrypt vollständig, ohne dass ein externer Webserver erforderlich ist.
Das Ablaufen von Zertifikaten verursacht eine peinliche Ausfallzeit.
Ihre Website ist zwar noch in Betrieb, aber die Nutzer erhalten in ihrem Internetbrowser eine Meldung wie "Ihre Verbindung ist nicht privat", begleitet von einer großen Schaltfläche mit der Aufschrift "Zurückkehren". Einige kehren um, andere klicken sich durch die Nachricht und gehen das Risiko ein, ihre Daten über einen unverschlüsselten Kanal zu senden. Im Jahr 2017 lief das SSL-Zertifikat der Länder-Subdomain von LinkedIn aus, was Auswirkungen auf Nutzer in den USA hatte. Das Unternehmen erntete damals einige Kritik, nur um zwei Jahre später einen noch größeren Rückschlag zu erleiden, als sich das Szenario wiederholte.
Ein Zertifikat ablaufen zu lassen, ist in der Tat eine schlechte Sicherheitspraxis, die das Vertrauen in Ihr Unternehmen untergräbt, vor allem, wenn Sie mit Benutzerdaten arbeiten (was selten der Fall ist). Mit einer automatischen Erneuerung können Sie die Bedrohung durch das Ablaufen von Zertifikaten jedoch leicht ausschalten. Es gibt eine Reihe von Möglichkeiten, dies zu gewährleisten, wie z. B. die Nutzung der Let's Encrypt-Initiative. Ein Zertifikat ablaufen zu lassen, ist eine schlechte Sicherheitspraxis, die das Vertrauen in Ihr Unternehmen untergräbt, vor allem, wenn Sie mit Benutzerdaten arbeiten (was selten der Fall ist).
Let's Encrypt ist eine kostenlose und offene Zertifizierungsstelle (CA), die von der Internet Security Research Group (ISRG) betrieben wird, um die besten TLS-Sicherheitspraktiken zu fördern und die digitalen Zertifikate bereitzustellen, denen alle großen Browser vertrauen. Jeder Inhaber eines Domänennamens kann dort kostenlos ein Zertifikat erhalten.
Das Protokoll für die automatische Ausstellung und Erneuerung wird als offener Standard veröffentlicht, den jeder übernehmen kann. Software, die auf Ihrem Webserver läuft, kann dann mit Let's Encrypt interagieren, um ein Zertifikat zu erhalten, es für die Verwendung zu konfigurieren und sich automatisch um die Erneuerung zu kümmern.
Da Kemp Load-Balancer als Gateway zwischen Ihren Anwendungen und dem Rest der Welt fungieren, sind sie in einer guten Position, um die automatische SSL-Zertifikatsregistrierung und -erneuerung zu übernehmen.
Ab der Version 7.2.53 ist Kemp LoadMaster mit Let's Encrypt integriert, um die folgenden Funktionalitäten zu bieten:
Alles, was Sie tun müssen, ist, den LoadMaster mit Ihrem Let's Encrypt-Konto zu verknüpfen (wenn Sie noch keines haben, können Sie eines über die LoadMaster-Benutzeroberfläche erstellen), den Erneuerungszeitraum festzulegen und ein neues Zertifikat anzufordern. Danach sind Sie bereit. Ihre SSL-Zertifikate werden nach Ablauf des Erneuerungszeitraums automatisch erneuert.
Es ist zu beachten, dass Sie bei der Anforderung eines neuen Zertifikats einen bestehenden virtuellen Dienst auswählen müssen, der untergeordnete virtuelle Dienste haben kann. Das bedeutet, dass der übergeordnete virtuelle Dienst keine realen Server haben kann, aber er kann untergeordnete virtuelle Dienste mit realen Servern haben. Sie können Ihren VS ganz einfach über die Benutzeroberfläche unter Virtual Services > View/Modify Services in einen VS mit subVSs umwandeln.
Die vollständige Beschreibung der Funktion sowie eine Anleitung, wie Sie die automatische Zertifikatserneuerung von Let's Encrypt auf Ihrem LoadMaster aktivieren können, finden Sie hier. Und wie immer, stellen Sie sicher, dass Sie Ihren LoadMaster auf die neueste Version aktualisieren.
Wenn Sie Hilfe benötigen, wenden Sie sich an den Kemp-Support.