· Ratgeber  · 4 Min. Lesezeit

Nie wieder abgelaufene Zertifikate: TLS-Verwaltung mit Traefik und Let's Encrypt

Abgelaufene Zertifikate sind vermeidbarer Alltagsärger: Wie Traefik mit Let’s Encrypt TLS-Zertifikate automatisch beschafft und erneuert.

Abgelaufene Zertifikate sind vermeidbarer Alltagsärger: Wie Traefik mit Let’s Encrypt TLS-Zertifikate automatisch beschafft und erneuert.

Montagmorgen, die erste Anmeldung am internen System, und statt der Login-Maske erscheint eine rote Warnseite: „Dies ist keine sichere Verbindung.” Das Zertifikat ist am Wochenende abgelaufen. Niemand hat es gemerkt, weil niemand daran denken konnte: Der Kalendereintrag dafür lag beim Kollegen, der die Firma vor zwei Jahren verlassen hat. So banal beginnt eines der häufigsten IT-Ärgernisse, die mir in kleinen und mittleren Unternehmen begegnen.

Warum abgelaufene Zertifikate mehr sind als ein Schönheitsfehler

TLS-Zertifikate sorgen dafür, dass Verbindungen verschlüsselt sind und der Browser weiß, dass er wirklich mit Ihrem Server spricht. Läuft ein Zertifikat ab, passiert dreierlei:

  • Browserwarnungen erschrecken Nutzer, im schlimmsten Fall Ihre Kunden auf der Website oder im Kundenportal. Das kostet Vertrauen, das Sie mühsam aufgebaut haben.
  • Mitarbeiter lernen das Falsche. Wer täglich auf „Risiko akzeptieren und fortfahren” klickt, weil das interne Wiki eben so ist, klickt irgendwann auch bei einer echten Angriffsseite weiter. Zertifikatswarnungen zu ignorieren darf nie zur Gewohnheit werden.
  • Maschinen sind unerbittlicher als Menschen. Schnittstellen, Mail-Programme, Backup-Jobs und Gerätesynchronisation brechen bei ungültigen Zertifikaten oft kommentarlos ab. Dann „geht plötzlich der Kalender nicht mehr”, und die Ursachensuche beginnt an der falschen Stelle.

Die zweite Variante desselben Problems sind selbstsignierte Zertifikate auf internen Diensten: NAS, Drucker-Verwaltung, Firewall-Oberfläche, Zeiterfassung. Sie verschlüsseln zwar, aber jeder Browser warnt bei jedem Aufruf, und niemand kann mehr unterscheiden, welche Warnung harmlos ist und welche nicht.

Die Lösung: Erneuerung, an die kein Mensch mehr denken muss

Mein bevorzugter Standard dafür ist Traefik, ein quelloffener Reverse Proxy. Er sitzt als zentraler Eingang vor Ihren Diensten: Alle Anfragen laufen bei ihm auf, er verteilt sie an das richtige System dahinter. Und er bringt genau die Fähigkeit mit, um die es hier geht: Über das ACME-Protokoll besorgt sich Traefik Zertifikate von Let’s Encrypt automatisch, und erneuert sie rechtzeitig von selbst, bevor sie ablaufen.

Let’s Encrypt ist eine gemeinnützige Zertifizierungsstelle, deren Zertifikate von allen gängigen Browsern akzeptiert werden, kostenfrei. Die Zertifikate sind bewusst kurzlebig, was ohne Automatisierung lästig wäre, mit Automatisierung aber zum Vorteil wird: Die Erneuerung ist Routine im System statt Termin im Kopf. Der Kalendereintrag „Zertifikat verlängern!” entfällt ersatzlos, und mit ihm das Risiko, ihn zu verpassen.

Interne Dienste absichern, ohne Ports zu öffnen

Der häufigste Einwand, den ich höre: „Unser Wiki ist doch nur intern erreichbar, dafür kriegen wir kein echtes Zertifikat.” Doch, und zwar ohne den Dienst ins Internet zu stellen.

Der Weg dahin heißt DNS-Challenge: Statt dass Let’s Encrypt Ihren Server über eine offene Verbindung prüft, weist Traefik den Besitz der Domain über einen automatisch gesetzten DNS-Eintrag nach. Es muss kein einziger Port von außen erreichbar sein. In Kombination mit einem Wildcard-Zertifikat (eines für alle Unterdomains, etwa *.intern.ihrefirma.de) bekommen sämtliche internen Dienste gültige, vertrauenswürdige Zertifikate, vom NAS bis zur Zeiterfassung. Ergebnis: kein einziger roter Warnbildschirm mehr im Haus, und Ihre Mitarbeiter dürfen Warnungen wieder ernst nehmen.

Voraussetzung ist, dass Ihr DNS-Anbieter eine Schnittstelle für solche automatischen Einträge anbietet. Das ist bei vielen Anbietern der Fall, gehört aber zu den Dingen, die ich vor der Einrichtung prüfe.

Fairerweise: Traefik ist nicht der einzige Weg

Es gibt bewährte Alternativen, und je nach Umgebung setze ich sie auch ein:

  • Caddy ist ein Webserver, der Zertifikate von Haus aus genauso automatisch verwaltet, sehr angenehm für einfache Setups.
  • nginx mit certbot ist der Klassiker, grundsolide, aber mit einem separaten Werkzeug für die Erneuerung, also einem beweglichen Teil mehr.

Dass ich meist zu Traefik greife, hat einen praktischen Grund: In Umgebungen mit mehreren Diensten, gerade wenn sie in Containern laufen, erkennt Traefik neue Dienste automatisch und versorgt sie direkt mit Zertifikaten. Neue Anwendung deployt, Zertifikat da, ohne dass jemand eine Konfigurationsdatei anfasst. Das passt zu meinem Grundsatz, wiederkehrende Handarbeit konsequent zu automatisieren, weil Handarbeit vergessen wird und Automatisierung nicht.

Ganz ohne Aufmerksamkeit kommt übrigens auch die beste Automatisierung nicht aus: Ich überwache die Restlaufzeit der Zertifikate zusätzlich im Monitoring. Wenn eine Erneuerung doch einmal scheitert, etwa weil sich beim DNS-Anbieter etwas geändert hat, erfahre ich es Tage vorher und nicht am Montagmorgen mit Ihnen zusammen.

Einordnung: ein Baustein, kein Selbstzweck

Automatische Zertifikatsverwaltung ist kein Projekt, das man um seiner selbst willen macht. Sie ist ein Baustein einer sauberen, dokumentierten IT-Infrastruktur: ein zentraler, verschlüsselter Zugang zu allen Diensten, intern wie extern. Besonders spürbar wird das, wenn ohnehin eine private Cloud mit Nextcloud oder andere selbst betriebene Dienste dazukommen, denn die sollen vom ersten Tag an sauber verschlüsselt erreichbar sein, auf jedem Gerät, ohne Ausnahme-Klicks.

Der Aufwand für die Einrichtung ist überschaubar, der Effekt dauerhaft: ein Thema weniger, das an einem Kalendereintrag oder an einer einzelnen Person hängt.

Rote Warnseiten im Haus? Muss nicht sein. Wie eine sauber aufgebaute Infrastruktur mit automatischer Zertifikatsverwaltung aussieht, lesen Sie unter IT-Infrastruktur & Hosting, oder Sie nehmen direkt Kontakt auf.

Alex Jabi, Jabi IT

Alex Jabi

Ich betreue IT, Informationssicherheit und Datenschutz für KMU und Praxen an der Bergstraße und im Odenwald, persönlich, dokumentiert und ohne Cloud-Zwang.

Mehr über mich
Zurück zum Ratgeber