Enigma Bridge zeigt Grenzen von Let`s Encrypt auf
Enigma Bridge beschäftigt sich als Dienstleister mit der kostenfreien Überwachung von größeren https-Setups. Nun hat das Unternehmen die „Grenzen“ und Beschränkungen von Let`s Encrypt (LE) ausgelotet und zusammengefasst.
Let`s Encrypt ist unangefochtener Marktführer im Bereich der kostenfreien Zertifizierung für Websites. Experten bemängeln häufig die Sicherheit der ausgestellten Zertifikate, doch immer mehr Domainbetreiber nutzen den Service.
Einschränkungen: für Cloud Anbieter und „Vielregistrierer“
Besonders auffällig ist die Einseitigkeit der Zertifikate. LE bietet Zertifikate mit maximal 100 Domainnamen an, stellt aber keine Wildcards für Subdomains aus. Die RSA-Keylängen sind 2048, 3072 und 4096 Bits, zusätzlich LE Support für P-256- und P-384-ECDSA-Keys an. Die Verteilung beschränkt sich auf maximal 20 Zertifikate pro Woche pro registrierter Domain. Inklusive der erlaubten 100 Subdomains können Unternehmen so bis zu 2000 Zertifizierungen pro Woche erhalten. Für Cloudbetreiber ist das heute oft zu wenig. Auf Nachfrage erhöht Let`s Encrypt das Volumen, aber es gibt keine Garantie dafür.
Pro Zertifikat kann nur fünf Mal pro Woche der gleiche Domainname oder eine Renewal beantragt werden.Werden neue Namen hinzugefügt oder andere entfernt, zählt dies auch zu den Zertifikatsanfragen und wird mit eingerechnet.
Die Anzahl von Account Registrierungen ist bei Let`s Encrypt beschränkt. Für IPv4-Adressen sind 10 Registrierungen in 3 Stunden möglich, für IPv6 („/48“) sind es im gleichen Zeitraum bis zu 500. Bei der Durchführung von Integrationstests müssen Admins das beachten, deshalb empfehlen Experten das Staging Environment und die Option „–dry-run“, um das Wochenlimit nicht zu überschreiten. Für die Endpoints gibt es Anfragelimits, die zwischen 20 und 40 pro Sekunde liegen.
Der Blogpost gibt Domain Administratoren Tipps, die Limits zu erkennen und in die eigene Arbeit mit Let`s Encrypt Zertifikaten einzubauen. Sie geben Beispiele, neue Zertifikate und Renewals zu managen, um nicht an die Limitgrenzen zu geraten, gleichzeitig aber auch die höchstmögliche Anzahl an Requests abzusetzen.