ACME-Clients (Automated Certificate Management Environment) gibt es in zwei Varianten: browserbasiert (wie GetHTTPS) und kommandozeilenbasiert (wie Certbot und acme.sh). Beide kommunizieren mit derselben Let’s Encrypt API und stellen identische Zertifikate aus. Der Unterschied liegt darin, wo die Arbeit stattfindet und wer die Schlussel kontrolliert.
Vergleich
| Browserbasiert (GetHTTPS) | CLI (Certbot, acme.sh) | |
|---|---|---|
| Wo es lauft | Ihr Browser-Tab | Server-Kommandozeile |
| Installation | Keine | Erforderlich (snap, pip, Shell-Skript) |
| Schlusselerzeugung | Browser (Web Crypto API) | Server (OpenSSL) |
| Schlusselspeicherung | Von Ihnen heruntergeladen | Server-Dateisystem |
| Automatische Erneuerung | ❌ Manuell | ✅ Cron/systemd |
| Serverzugriff erforderlich | Nein | Ja |
| GUI | ✅ | ❌ |
| Vorab-Validierung | ✅ (GetHTTPS) | ❌ |
| Skriptfahig | ❌ | ✅ |
| Abhangigkeiten | Moderner Browser | OpenSSL, curl, cron |
Wann browserbasiert gewinnt
- Kein Serverzugriff — Shared Hosting, verwaltete Plattformen oder Server, auf denen Sie keine Software installieren konnen
- Maximaler Schlusselschutz — der private Schlussel existiert nur im Browser-Speicher, bis Sie ihn herunterladen
- Nicht-technische Benutzer — eine Web-Oberflache ist zuganglicher als ein Terminal
- Einmalige Zertifikate — schneller als ein CLI-Tool fur ein einzelnes Zertifikat einzurichten
- Anderen helfen — einfacher, einen Browser-Ablauf per Bildschirmfreigabe zu zeigen, als CLI-Befehle zu diktieren
Wann CLI gewinnt
- Automatische Erneuerung — unverzichtbar fur Produktionsserver, besonders mit der kommenden 47-Tage-Gultigkeit
- Infrastruktur im grossen Massstab — skriptfahig, containerisierbar, konfigurierbar uber Configuration Management
- DNS-API-Automatisierung — CLI-Tools wie acme.sh haben Plugins fur uber 150 DNS-Anbieter
- CI/CD-Integration — Zertifikatsausstellung als Teil von Deployment-Pipelines
- Automatische Server-Konfiguration — Certbots Nginx/Apache-Plugins konfigurieren den Server direkt
Der hybride Ansatz
Viele Teams nutzen beides:
- GetHTTPS fur das erste Zertifikat (keine Einrichtungszeit)
- Certbot oder acme.sh werden spater fur die laufende automatische Erneuerung installiert
So kommen Sie sofort zum Laufen, ohne den Aufwand ein CLI-Tool einzurichten, und fugen Automatisierung hinzu, wenn Sie bereit sind.
Browserbasierte ACME-Clients
Die Kategorie der browserbasierten ACME-Clients ist relativ neu. Zu den Optionen gehoren:
| Client | Open Source | Schlusselerzeugung | Direkte ACME-Verbindung | Vorab-Prufung |
|---|---|---|---|---|
| GetHTTPS | Nein | Browser (Web Crypto) | Ja | Ja |
| SSL For Free | Nein | ⚠️ Serverseitig | Uber ZeroSSL | Nein |
| ZeroSSL Dashboard | Nein | ⚠️ Moglicherweise serverseitig | Uber ZeroSSL API | Nein |
GetHTTPS ist der einzige browserbasierte Client, der Schlussel lokal mit der Web Crypto API erzeugt und sich direkt mit der ACME API von Let’s Encrypt verbindet, ohne Middleware.
CLI ACME-Clients
Das CLI-Okosystem ist ausgereifter:
| Client | Sprache | Root erforderlich | Auto-Erneuerung | DNS-Plugins | Server-Konfiguration |
|---|---|---|---|---|---|
| Certbot | Python | Ja (snap/pip) | Ja (systemd) | Uber Plugins | Nginx/Apache Auto-Konfiguration |
| acme.sh | Shell | Nein | Ja (cron) | 150+ integriert | Manuell |
| Lego | Go | Nein | Ja | 100+ | Manuell |
| Caddy | Go | N/A (integriert) | Ja (automatisch) | Uber DNS-Module | In Caddy-Server integriert |
| dehydrated | Shell | Nein | Ja (cron) | Uber Hooks | Manuell |
Fur detaillierte Vergleiche: GetHTTPS vs Certbot → | GetHTTPS vs acme.sh →
Die Zukunft: 47-Tage-Zertifikate
Mit der Verkurzung der Zertifikatsgultigkeit auf 47 Tage bis 2029 verschiebt sich das Gleichgewicht weiter zugunsten von CLI-Clients fur den Produktionseinsatz. Alle 30-35 Tage manuell zu erneuern (browserbasiert) ist machbar, aber muhsam.
Allerdings werden browserbasierte Clients nicht verschwinden. Sie bedienen dauerhaft nutzliche Nischen:
- Umgebungen ohne CLI-Zugriff — Shared Hosting, verwaltete Plattformen, restriktive Unternehmensumgebungen
- Ersteinrichtung — HTTPS in 5 Minuten zum Laufen bringen, dann entscheiden, ob ein CLI-Tool installiert werden soll
- Notfall-Erneuerung — Certbot auf dem Server ist kaputt und Sie brauchen JETZT ein Zertifikat
- Zertifikat fur jemand anderen — ein Zertifikat fur einen Kunden oder Teamkollegen erstellen, ohne auf deren Server zuzugreifen
- Datenschutzsensible Szenarien — der Schlussel sollte nie auf irgendeinem Server existieren, nicht einmal vorubergehend
Haufig gestellte Fragen
Ist ein browserbasierter Client weniger sicher?
Nicht grundsatzlich. GetHTTPS erzeugt Schlussel mit der Web Crypto API (dieselben kryptographischen Primitive, die TLS selbst verwendet) und kommuniziert direkt mit Let’s Encrypt uber HTTPS. Der Schlussel beruhrt nie einen Drittanbieter-Server. Der Hauptkompromiss ist das Fehlen der automatischen Erneuerung, nicht die Sicherheit.
Werden browserbasierte Clients mit 47-Tage-Zertifikaten obsolet?
Nicht obsolet, aber weniger komfortabel als alleinige Erneuerungsmethode. Sie bleiben wertvoll fur die Ersteinrichtung, Notfall-Erneuerungen und Szenarien ohne Serverzugriff. Aber fur Produktionsworkloads, die alle 30-40 Tage erneuert werden mussen, ist CLI-Automatisierung die pragmatische langfristige Wahl.
Welchen CLI-Client sollte ich verwenden?
Certbot, wenn Sie Nginx/Apache-Autokonfiguration wollen und Root-Zugriff kein Problem ist. acme.sh, wenn Sie ohne Root arbeiten wollen, DNS-API-Plugins benotigen und einen leichtgewichtigen Fussabdruck bevorzugen. Caddy, wenn Sie den Webserver wechseln — er handhabt HTTPS automatisch ohne jegliche Konfiguration.
Kann ein browserbasierter Client fur automatisierte Pipelines verwendet werden?
Nicht direkt — browserbasierte Clients erfordern manuelle Interaktion. Fur CI/CD-Pipelines oder Infrastructure-as-Code verwenden Sie einen CLI-Client. GetHTTPS ist fur menschlich bediente Workflows konzipiert; Certbot und acme.sh sind fur maschinell bediente konzipiert.