Let’s Encrypt ist eine kostenlose, automatisierte, gemeinnützige Zertifizierungsstelle (CA), die SSL/TLS-Zertifikate kostenfrei ausstellt. Sie ist die weltweit grösste CA mit einem Marktanteil von 63,9 % und hat seit dem Start 2016 über 1 Milliarde Zertifikate ausgestellt.
Let’s Encrypt wird von der Internet Security Research Group (ISRG) betrieben und von Mozilla, Google, EFF, Facebook und anderen unterstützt.
Wie Let’s Encrypt funktioniert
Let’s Encrypt verwendet das ACME-Protokoll (Automated Certificate Management Environment, RFC 8555), um die Zertifikatsausstellung zu automatisieren:
- Domainbesitz nachweisen — Eine Challenge (HTTP-01 oder DNS-01) abschliessen, um zu beweisen, dass Sie die Domain kontrollieren
- CSR übermitteln — Ihr ACME-Client sendet einen Certificate Signing Request mit Ihrem öffentlichen Schlüssel
- Zertifikat erhalten — Let’s Encrypt signiert und gibt die Zertifikatskette zurück
- Installieren und erneuern — Zertifikat bereitstellen; alle 90 Tage erneuern
Der gesamte Prozess ist automatisiert — keine E-Mails, keine Formulare, keine Zahlung. ACME-Clients wie GetHTTPS, Certbot und acme.sh übernehmen das Protokoll für Sie.
Warum es kostenlos ist
Die Mission von Let’s Encrypt ist es, HTTPS universell zu machen. Einnahmemodell:
- Gesponsert von grossen Technologieunternehmen (Google, Mozilla, Meta, Cisco, EFF usw.)
- Betriebskosten sind gering — nahezu alles ist automatisiert
- Kein Support-Personal für einzelne Nutzer — nur Community-Forum
- Stellt nur DV-Zertifikate aus — keine komplexe Identitätsprüfung erforderlich
Das ist nicht „kostenlos im Sinne von Freemium”. Es gibt keine kostenpflichtigen Stufen, keine Upsells, keine Limits, die Sie zu einem Bezahlplan drängen sollen. Es ist kostenlos, weil Verschlüsselung ein Standard sein sollte, kein Luxus.
Rate Limits
Let’s Encrypt hat Rate Limits, um Missbrauch zu verhindern, aber sie sind grosszügig genug für jede legitime Nutzung:
| Limit | Wert | Anmerkungen |
|---|---|---|
| Zertifikate pro registrierter Domain | 50 pro Woche | Umfasst example.com und alle Subdomains |
| Doppelte Zertifikate | 5 pro Woche | Genau dieselbe Menge an Domainnamen |
| Fehlgeschlagene Validierungen | 5 pro Stunde | Pro Konto, pro Hostname |
| Neue Registrierungen | 10 pro IP pro 3 Stunden | ACME-Kontoerstellung |
| Ausstehende Autorisierungen | 300 pro Konto | Gleichzeitig unvollständige Challenges |
Zum Testen verwenden Sie die Staging-Umgebung von Let’s Encrypt — sie hat viel höhere Limits und stellt Testzertifikate aus (nicht browservertraut).
Was Let’s Encrypt nicht bietet
- OV/EV-Zertifikate — nur Domain Validation (DV)
- Dedizierter Support — nur Community-Forum
- Garantie — keine finanzielle Absicherung gegen Fehlausstellung
- Zertifikatsverwaltungs-Dashboard — dafür sind ACME-Clients da
- Zertifikate länger als 90 Tage — bewusst so gewählt (kurze Gültigkeit begrenzt die Gefährdung bei kompromittierten Schlüsseln)
Für die meisten Websites wird nichts davon benötigt. DV-Zertifikate bieten die gleiche Verschlüsselung wie OV/EV. Siehe unseren Vergleich Let’s Encrypt vs. kostenpflichtige SSL-Zertifikate.
So verwenden Sie Let’s Encrypt
Sie interagieren nicht direkt mit Let’s Encrypt — Sie verwenden einen ACME-Client:
| Client | Funktionsweise | Am besten geeignet für |
|---|---|---|
| GetHTTPS | Browserbasiert, keine Installation, Schlüssel bleibt lokal | Schnelle Zertifikate ohne Serverzugriff |
| Certbot | CLI-Tool, automatische Erneuerung, Server-Integration | Produktionsserver mit Root-Zugriff |
| acme.sh | Shell-Skript, kein Root erforderlich | Leichtgewichtige CLI-Alternative |
| Caddy | Integriertes ACME, automatisches HTTPS | Caddy-Webserver-Nutzer |
Vollständiger Vergleich kostenloser SSL-Tools →
Häufig gestellte Fragen
Ist Let’s Encrypt sicher?
Ja. Let’s Encrypt-Zertifikate verwenden die gleichen kryptografischen Standards wie kostenpflichtige Zertifikate. Sie werden von allen grossen Browsern und Betriebssystemen vertraut. Über 300 Millionen aktive Zertifikate schützen einen bedeutenden Teil des Webs.
Warum 90-Tage-Zertifikate?
Kurze Gültigkeit begrenzt den Schaden, wenn ein privater Schlüssel kompromittiert wird — ein Angreifer kann einen gestohlenen Schlüssel nur nutzen, bis das Zertifikat abläuft. Es fördert auch die Automatisierung, die zuverlässiger ist als manuelle Erneuerung. Hinweis: Das CA/Browser Forum bewegt alle CAs in Richtung 47-Tage-Gültigkeit bis 2029.
Kann ich Let’s Encrypt für kommerzielle Websites verwenden?
Ja. Es gibt keine Einschränkungen für die kommerzielle Nutzung. Let’s Encrypt-Zertifikate werden von grossen Unternehmen, SaaS-Produkten und E-Commerce-Websites verwendet. Die Lizenz setzt keine Nutzungsbeschränkungen.
Was passiert, wenn Let’s Encrypt ausfällt?
Bestehende Zertifikate funktionieren weiterhin bis zu ihrem Ablauf — sie kontaktieren nicht den Server. Sie können lediglich während eines Ausfalls keine neuen Zertifikate ausstellen oder erneuern. Let’s Encrypt hat eine starke Verfügbarkeitsbilanz und wird von gut finanzierten Sponsoren unterstützt. Wenn Sie besorgt sind, erneuern Sie Zertifikate rechtzeitig vor Ablauf (Tag 60 von 90).
Unterstützt Let’s Encrypt Wildcard-Zertifikate?
Ja. Wildcard-Zertifikate (*.example.com) werden über die DNS-01-Challenge unterstützt. Sie müssen einen TXT-Eintrag im DNS Ihrer Domain hinzufügen, um den Besitz nachzuweisen.
Let’s Encrypt in Zahlen
| Kennzahl | Wert |
|---|---|
| Aktive Zertifikate | 300+ Millionen |
| Globaler CA-Marktanteil | 63,9 % |
| Insgesamt ausgestellte Zertifikate | 1+ Milliarde |
| Zertifikatstyp | Nur DV |
| Gültigkeit | 90 Tage |
| Kosten | Kostenlos |
| Sponsoren | Google, Mozilla, Meta, Cisco, EFF, Akamai und andere |
| Gegründet | 2013 (ISRG), öffentlicher Start 2016 |
| Protokoll | ACME (RFC 8555) |
| Root-CA | ISRG Root X1 |
Warum manche Menschen Let’s Encrypt misstrauen (und warum sie falsch liegen)
„Kostenlos = weniger sicher” — Die Verschlüsselungsstärke wird durch die TLS-Spezifikation definiert, nicht durch die CA. Alle CAs verwenden die gleichen Algorithmen. Vergleich kostenlos vs. kostenpflichtig →
„Keine Garantie = riskant” — CA-Garantien decken Fehlausstellungen der CA ab, nicht das Hacken Ihrer Website. Es wurde nie eine bedeutende Garantiezahlung öffentlich dokumentiert.
„90-Tage-Zertifikate = unzuverlässig” — Kurze Gültigkeit ist ein Sicherheitsmerkmal, keine Einschränkung. Automatische Erneuerung (Certbot) macht dies unsichtbar.
„Phishing-Seiten verwenden Let’s Encrypt” — Stimmt, aber Phishing-Seiten verwenden auch kostenpflichtige Zertifikate. DV-Zertifikate überprüfen die Domain-Kontrolle, nicht die Legitimität der Website. Dies ist beabsichtigt — Verschlüsselung schützt Daten während der Übertragung, unabhängig von der Absicht der Website.