Internet Security Research Group

Internet Security Research Group ; (ISRG)
Rechtsform	California public benefit corporation und nach US-Steuerrecht als 501(c)(3) steuerbefreit anerkannt
Gründung	Mai 2013
Gründer	Josh Aas und Eric Rescorla
Sitz	San Francisco, Kalifornien, Vereinigte Staaten
Zweck	Betrieb und Entwicklung von Infrastrukturprojekten für Internet-Sicherheit und Datenschutz
Umsatz	5.156.001 US-Dollar (2023)
Beschäftigte	27 (2024)
Website	abetterinternet.org

Die Internet Security Research Group (ISRG) ist eine US-amerikanische gemeinnützige Organisation, die öffentliche Infrastrukturprojekte für Internetsicherheit und Datenschutz betreibt.^[1] Bekannt ist sie als Trägerorganisation der Zertifizierungsstelle Let’s Encrypt, die die automatisierte Ausgabe kostenfreier TLS-Zertifikate ermöglicht.^[3]

Neben Let’s Encrypt betreibt ISRG seit 2021 das Memory-Safety-Programm Prossimo sowie den Telemetriedienst Divvi Up, der datenschutzfreundliche Messungen über verteilte Aggregation ermöglichen soll.^[1]^[4]

Geschichte

ISRG entstand im Mai 2013 als organisatorischer Rahmen für den Aufbau einer vollständig automatisierten und frei nutzbaren Zertifizierungsstelle, aus der später Let’s Encrypt hervorging.^[3] Das Projekt wurde im November 2014 öffentlich vorgestellt und zielte darauf, den Einsatz von HTTPS durch niedrigere Kosten und geringeren technischen Aufwand zu verbreiten.^[5]^[6]

Projekte

Let’s Encrypt

Let’s Encrypt ist eine öffentlich vertrauenswürdige Zertifizierungsstelle, die Domain-validierte TLS-Zertifikate automatisiert ausstellt und erneuert.^[3] Grundlage der Automatisierung ist das Protokoll Automatic Certificate Management Environment (ACME), das als RFC 8555 standardisiert wurde.^[7]

In einer wissenschaftlichen Beschreibung der Architektur und Organisationsstruktur von Let’s Encrypt wird das Projekt als größte HTTPS-Zertifizierungsstelle (Stand Anfang 2019) eingeordnet.^[3]

Prossimo

Prossimo ist ein Programm, das die Sicherheit verbreiteter, sicherheitskritischer Internet-Software durch den Einsatz speichersicherer Programmiersprachen fördern soll, insbesondere durch Projekte im Umfeld von Rust.^[1] In der Berichterstattung wurde Prossimo unter anderem durch Unterstützung von Rust-Entwicklungen für den Linux-Kernel sowie durch Reimplementierungen sicherheitskritischer Werkzeuge in Rust aufgegriffen.^[8]^[9]^[10]

Divvi Up

Divvi Up ist ein Telemetriedienst, der Messdaten so erfassen soll, dass einzelne Beiträge nicht offengelegt werden, während aggregierte Statistiken möglich bleiben.^[4] Technische Grundlage ist ein Mehrparteien-Ansatz, der in der IETF-Arbeitsgruppe „Privacy Preserving Measurement“ über das Distributed Aggregation Protocol (DAP) standardisiert wird.^[11] In einer Darstellung zu praktischen Einsatzfragen von Mehrparteienberechnungen wird Divvi Up als Dienst beschrieben, der auf DAP aufbaut und private Auswertungen bei der Datenerhebung unterstützen soll.^[12]

Organisation und Finanzierung

ISRG ist nach Angaben des US-amerikanischen Nonprofit-Registers seit Juni 2014 als steuerbefreite 501(c)(3)-Organisation anerkannt (EIN 46-3344200).^[2] Laut den dort veröffentlichten Auszügen aus Form-990-Meldungen finanziert sich ISRG überwiegend über Spenden und Zuwendungen; für das Geschäftsjahr 2024 weist die Datenbank Einnahmen von 9.563.960 US-Dollar und Ausgaben von 7.925.896 US-Dollar aus.^[2]

Rezeption

Die Gründung von ISRG und der Aufbau von Let’s Encrypt wurden in der Fach- und Technikpresse als Beitrag zur breiteren Nutzung von HTTPS und zur Senkung von Einstiegsbarrieren für Verschlüsselung dargestellt.^[5]^[6] Auch spätere Projekte wie Divvi Up wurden als Ansatz für datenschutzfreundliche Telemetrie diskutiert.^[4]

Literatur

Josh Aas u. a.: Let’s Encrypt: An Automated Certificate Authority to Encrypt the Entire Web. In: Proceedings of the 2019 ACM SIGSAC Conference on Computer and Communications Security (CCS ’19). 2019; doi:10.1145/3319535.3363192 abetterinternet.org (PDF; 1,2 MB).

Weblinks

Offizielle Website.

Einzelnachweise

1 2 3 4 5 6 About Internet Security Research Group. In: Internet Security Research Group. Abgerufen am 29. Januar 2026.
1 2 3 Internet Security Research Group. In: ProPublica Nonprofit Explorer. Abgerufen am 29. Januar 2026.
1 2 3 4 5 6 Josh Aas, Richard Barnes, Benton Case, Zakir Durumeric, Peter Eckersley, Alan Flores-López, J. Alex Halderman, Jacob Hoffman-Andrews, James Kasten, Eric Rescorla, Seth Schoen, Brad Warren: Let’s Encrypt: An Automated Certificate Authority to Encrypt the Entire Web. In: Proceedings of the 2019 ACM SIGSAC Conference on Computer and Communications Security (CCS ’19). 2019, doi:10.1145/3319535.3363192 (abetterinternet.org [PDF; abgerufen am 29. Januar 2026]).
1 2 3 Daroc Alden: Divvi Up: privacy-respecting telemetry aggregation. In: LWN.net. 2. August 2024, abgerufen am 29. Januar 2026.
1 2 Launching in 2015: A Certificate Authority to Encrypt the Entire Web. In: Electronic Frontier Foundation. 18. November 2014, abgerufen am 29. Januar 2026.
1 2 Mozilla backs free-for-all server-level encryption. In: Wired. 18. November 2014, abgerufen am 29. Januar 2026.
↑ RFC: 8555 – Automatic Certificate Management Environment (ACME). März 2019 (englisch).
↑ Jim Salter: The ISRG wants to make the Linux kernel memory-safe with Rust. In: Ars Technica. 21. Juni 2021, abgerufen am 29. Januar 2026.
↑ Thomas Claburn: ISRG's Prossimo project releases memory-safe sudo in Rust. In: The Register. 2. September 2023, abgerufen am 29. Januar 2026.
↑ Advancing Rustls and Rust for Linux with OpenSSF Support. In: OpenSSF. 18. September 2023, abgerufen am 29. Januar 2026.
↑ draft-ietf-ppm-dap: Distributed Aggregation Protocol for Privacy Preserving Measurement. In: IETF Datatracker. Abgerufen am 29. Januar 2026.
↑ Merits & Challenges of Deploying MPC. In: MPC Deployments (UC Berkeley). 27. September 2023, abgerufen am 29. Januar 2026.

[ISRG_about-1] 1 2 3 4 5 6 About Internet Security Research Group. In: Internet Security Research Group. Abgerufen am 29. Januar 2026.

[ProPublica_summary-2] 1 2 3 Internet Security Research Group. In: ProPublica Nonprofit Explorer. Abgerufen am 29. Januar 2026.

[Aas2019-3] 1 2 3 4 5 6 Josh Aas, Richard Barnes, Benton Case, Zakir Durumeric, Peter Eckersley, Alan Flores-López, J. Alex Halderman, Jacob Hoffman-Andrews, James Kasten, Eric Rescorla, Seth Schoen, Brad Warren: Let’s Encrypt: An Automated Certificate Authority to Encrypt the Entire Web. In: Proceedings of the 2019 ACM SIGSAC Conference on Computer and Communications Security (CCS ’19). 2019, doi:10.1145/3319535.3363192 (abetterinternet.org [PDF; abgerufen am 29. Januar 2026]).

[Alden2024-4] 1 2 3 Daroc Alden: Divvi Up: privacy-respecting telemetry aggregation. In: LWN.net. 2. August 2024, abgerufen am 29. Januar 2026.

[EFF_2014-5] 1 2 Launching in 2015: A Certificate Authority to Encrypt the Entire Web. In: Electronic Frontier Foundation. 18. November 2014, abgerufen am 29. Januar 2026.

[Wired_2014-6] 1 2 Mozilla backs free-for-all server-level encryption. In: Wired. 18. November 2014, abgerufen am 29. Januar 2026.

[RFC8555-7] RFC: 8555 – Automatic Certificate Management Environment (ACME). März 2019 (englisch).

[Ars2021-8] Jim Salter: The ISRG wants to make the Linux kernel memory-safe with Rust. In: Ars Technica. 21. Juni 2021, abgerufen am 29. Januar 2026.

[Register2023-9] Thomas Claburn: ISRG's Prossimo project releases memory-safe sudo in Rust. In: The Register. 2. September 2023, abgerufen am 29. Januar 2026.

[OpenSSF2023-10] Advancing Rustls and Rust for Linux with OpenSSF Support. In: OpenSSF. 18. September 2023, abgerufen am 29. Januar 2026.

[DAP_draft-11] draft-ietf-ppm-dap: Distributed Aggregation Protocol for Privacy Preserving Measurement. In: IETF Datatracker. Abgerufen am 29. Januar 2026.

[BerkeleyMPC2023-12] Merits & Challenges of Deploying MPC. In: MPC Deployments (UC Berkeley). 27. September 2023, abgerufen am 29. Januar 2026.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]