SSL-Zertifikat: Definition, Gültigkeit und Kosten
Ein SSL-Zertifikat ist eine digitale Datei, die die Identität einer Website bestätigt und eine verschlüsselte Verbindung zwischen Server und Browser ermöglicht. Es schützt vertrauliche Daten wie Passwörter vor dem Zugriff durch Dritte. Webseiten mit SSL-Zertifikat lassen sich an dem „https“ in der URL und einem kleinen Schloss-Symbol im Browser erkennen.
- Verschlüsselt die Website-Kommunikation
- Verhindert Sicherheitswarnungen
- Verbessert die Google-Platzierung
Was ist ein SSL-Zertifikat?
Moderne SSL-Zertifikate arbeiten nicht mehr mit dem veralteten SSL (Secure Sockets Layer), sondern setzen auf das neuere und sicherere TLS (Transport Layer Security). In der Praxis wird meist allerdings immer noch von SSL-Zertifikaten gesprochen, wenn es um eine Absicherung von Website und Server mit der Verschlüsselungstechnik geht. Das Zertifikat an sich ist dabei ein simpler Datensatz: In einer Datei sind zahlreiche Informationen enthalten – wie zum Beispiel der Name der ausstellenden Person, die Seriennummer oder auch der sogenannte Fingerabdruck für die Verschlüsselung. Zertifikate gibt es in verschiedenen Dateiformaten. Sie müssen für die Nutzung auf dem Server installiert werden.
Um ein Zertifikat zu erhalten, müssen sich Website-Betreibende an eine Zertifizierungsstelle wenden. Diese Organisationen sind zur Ausstellung eines SSL-Zertifikats berechtigt, verlangen für ihren Dienst allerdings meist Gebühren. Doch warum kann nicht einfach jeder seine eigene Organisation gründen? Der Grund ist folgender: Die Hersteller von Browsern – wie beispielsweise Microsoft, Mozilla oder Google – müssen die Zertifikate auch akzeptieren, sonst hat das entsprechende Zertifikat nicht den geringsten Nutzen.
Wie lange ist ein SSL-Zertifikat gültig?
Ein von den Browsern akzeptiertes Zertifikat ist nicht für immer gültig. Jedes SSL-Zertifikat ist vielmehr mit einem Ablaufdatum zwischen 1 und 13 Monaten versehen. Bis 2029 sollen SSL-Zertifikate maximal 47 Tage gültig sein. Wenn das erreicht ist, müssen Website-Betreibende ihre ungültigen SSL-Zertifikate ersetzen und erneuern lassen, ansonsten werden die entsprechenden Seiten nicht mehr als besonders sicher ausgewiesen. Auch wenn die regelmäßige Erneuerung der Zertifikate sowohl zeitraubend als auch kostspielig sein kann, ist es dennoch notwendig. Denn nur wenn Authentifizierungsstellen regelmäßig die Integrität, Identität und die verwendeten Verschlüsselungsmechanismen überprüfen, lässt sich die Sicherheit der Nutzerinnen und Nutzer gewährleisten.
Im SSL-Zertifikat ist nicht nur vermerkt, bis wann dieses gültig ist, sondern auch, ab welchem Datum es gültig ist.
SSL-Zertifikat: Wie funktioniert die Verschlüsselung?
Es gibt mehrere Möglichkeiten, wie man Datentransfers verschlüsseln kann. Klassischerweise benötigt man einen Schlüssel, um etwas zu verschlüsseln, und den exakt gleichen Schlüssel, um die Nachricht wieder lesbar zu machen. Diese Methode ist im Internet aber nicht sinnvoll, denn User nehmen dort häufig Kontakt zu Personen oder Organisationen auf, mit denen sie außerhalb des Internets niemals zuvor kommuniziert haben. Es gibt folglich keine Möglichkeit, einen Schlüssel zu übergeben, ohne diesen zunächst unverschlüsselt über das öffentlich zugängliche Medium zu senden. Daher nutzen SSL-Zertifikate ein anderes Verschlüsselungsverfahren.
Bei einer Public-Key-Infrastruktur erstellt man nicht nur einen Schlüssel, sondern stattdessen zwei: einen komplett öffentlichen und einen privaten. Eine Nachricht verschlüsselt man mit dem öffentlichen Schlüssel – dem Public Key – und kann diese nur mit dem Private Key wieder dechiffrieren. Der öffentliche Schlüssel ist es dann, den der Browser über das Zertifikat erhält und zum Verschlüsseln verwendet. Zur Codierung der Informationen gibt es unterschiedliche Verfahren. Auch diesbezüglich liefert der Webserver dem Browser über das Zertifikat die notwendigen Infos.
Eine derzeit häufig verwendete Methode zur Codierung ist zum Beispiel AES (Advanced Encryption Standard) mit der kryptologischen Hashfunktion SHA256. Diese Standards ändern sich allerdings regelmäßig. Eine Methode, die im letzten Jahr noch als unfehlbar galt, kann schon morgen geknackt werden und fortan als unsicher gelten.
Welche SSL-Zertifikate gibt es?
Es gibt mehrere Arten von SSL-Zertifikaten. Obwohl es verschiedene Aussteller mit unterschiedlichsten Verifizierungsmechanismen gibt, sind diese Faktoren nicht die ausschlaggebenden Kriterien. Vielmehr unterscheidet man SSL-Zertifikate unter anderem danach, wie gründlich die Überprüfung des Antragstellers abläuft und wie groß die Reichweite der Zertifikate ist. Während SSL-Zertifikate der Kategorie Domain Validation inzwischen kostenlos zu haben sind, können Privatpersonen und kleinere Unternehmen die Kosten für eine Extended Validation nur in den seltensten Fällen stemmen.
Domain Validation (DV)
Die Domain Validation bildet die unterste Stufe der SSL-Zertifikate: Die Überprüfung des Personals hinter der Website-Adresse läuft entsprechend oberflächlich ab. Oftmals versendet die Authentifizierungsstelle lediglich eine E-Mail an die im WHOIS-Eintrag angegebene E-Mail-Adresse. Die antragstellende Person wird darin zum Beispiel aufgefordert, einen DNS-Eintrag zu verändern oder eine bestimmte Datei auf ihren Server zu laden, um so die Kontrolle über die Domain zu signalisieren.
Organization Validation (OV)
OV-SSL-Zertifikate sind eine Stufe höher anzusiedeln, was die Sicherheit der Besucherinnen und Besucher betrifft. Die Zertifizierungsstelle fordert im Rahmen der Validation Unterlagen von den Besitzenden einer Website an – meist nachdem der automatisierte Ablauf der Domain Validation erfolgt ist. Welche Dokumente konkret benötigt werden, ist von der Ausstellungsorganisation abhängig – häufig wird beispielsweise nach einem Handelsregisterauszug gefragt.
Außerdem nehmen einige Authentifizierungsstellen zusätzlich telefonisch Kontakt zu den Website-Betreibenden auf. OV-SSL-Zertifikate liefern somit mehr Sicherheit, da im Vorfeld stärker überwacht wurde, wer tatsächlich hinter der Website steckt. Zudem bieten sie den Vorteil, diese Information auch im Zertifikat selbst für jeden User einsehbar zu halten.
Extended Validation (EV)
SSL-Zertifikate, die unter dem Label „Extended Validation“ angeboten werden, bilden die höchste Sicherheitsstufe. Bei dieser Art von Zertifikaten werden die Domain und die damit in Verbindung stehende Organisation überprüft – außerdem auch die antragstellende Person selbst. Man kontrolliert also auch, ob der Antragsteller bzw. die Antragstellerin tatsächlich bei der angegebenen Organisation oder dem angegebenen Unternehmen arbeitet und ob er bzw. sie dazu berechtigt ist, ein solches Zertifikat anzufordern.
Darüber hinaus muss auch die Zertifizierungsstelle dazu bevollmächtigt sein, Extended Validation durchzuführen. Um autorisiert zu werden, muss die Stelle einer Überprüfung durch das CA/Browser-Forum standhalten. Dabei handelt es sich um einen freiwilligen Zusammenschluss von Zertifizierungsstellen und Browser-Herstellern.
Kosten: Free SSL vs. Paid SSL
Ein nicht unwesentlicher Punkt für die Kategorisierung und Auswahl eines SSL-Zertifikats sind die Kosten, die mit dem Erwerb verknüpft sind. Bezieht man diesen Aspekt direkt auf die drei voranstehenden Überprüfungstypen, lässt sich dabei grob festhalten: Je ausgeprägter der Zertifizierungscheck ist, desto mehr muss für das Zertifikat am Ende gezahlt werden. Seit 2015 gibt es mit Let’s Encrypt sogar eine Zertifizierungsstelle, die Zertifikate gänzlich kostenfrei ausstellt.
Unterschiede zwischen kostenlosen und kostenpflichtigen Zertifikaten
Geht es um die reine Absicherung der Website, sodass diese nicht über gewöhnliches HTTP, sondern über HTTPS abgerufen werden kann, erfüllt ein kostenfreies Zertifikat die Anforderungen ebenso gut wie ein kostenpflichtiges. Beide Lösungen implementieren das Übertragungsprotokoll SSL bzw. TLS und machen den sicheren Datentransfer so für Clients und Server verbindlich.
In einigen Punkten unterscheiden sich kostenfreie und kostenpflichtige Zertifikate aber entscheidend voneinander:
- Validation-Level: Bei der Ausstellung eines Zertifikats ist die Prüfung des Website-Betreibenden nicht sehr umfangreich – die Domain Validation ist hier das typische Kontroll-Level. Zertifikate mit einer höheren Sicherheitsstufe sind immer kostenpflichtig.
- Domain-Zugehörigkeit: Ein kostenloses SSL-Zertifikat lässt sich ohne technischen Mehraufwand häufig nur für eine einzelne Domain erzeugen, an die es dann gebunden ist. Paid-SSL/TLS-Lösungen lassen auch domainübergreifende Zertifikate zu, die für mehrere Websites eingesetzt werden können.
Die Vorteile von Paid SSL
Paid SSL bietet verschiedenste Vorteile gegenüber der kostenfreien Alternative, wobei entscheidende Punkte auch bereits im voranstehenden Abschnitt angedeutet wurden: Die bezahlten Zertifikate sind je nach Anbieter und Paket ohne großen Aufwand auch für mehrere Domains einsetzbar. Das erhöht nicht nur die Flexibilität, sondern erfordert auch wesentlich weniger Aufwand. Im Problemfall stehen die jeweiligen Provider bzw. Zertifizierungsstellen standardmäßig außerdem mit individuellem Support zur Seite – ein Luxus, auf den Nutzerinnen und Nutzer eines Free-SSL-Zertifikats verzichten müssen.
Welches Kostenmodell ist das passende?
Ein kostenpflichtiges SSL-Zertifikat, das EV-geprüft ist, stellt ohne Zweifel die optimale Verschlüsselungslösung für das eigene Webprojekt dar. Leisten können sich diese Art der Zertifizierung allerdings nur größere Unternehmen, die in diesem Fall auch die Zielgruppe darstellen. Kostengünstigere Zertifikate sind für Webprojekte im KMU-Sektor aber prinzipiell ausreichend, solange keine hochsensiblen Daten wie beim Onlinebanking übertragen werden. Für kleinere Projekte, bei denen die Weitergabe persönlicher Daten keine bzw. nur eine geringe Rolle spielt, stellen Free-SSL-Zertifikate eine gute Alternative zu den kostenpflichtigen Angeboten dar. In jedem Fall sollten Sie bei der Auswahl Ihres SSL-Zertifikats auf folgende Punkte achten:
- Reichweite: Achten Sie darauf, wie weit das SSL-Zertifikat reicht – also auch darauf, ob zum Beispiel Subdomains unter das Zertifikat fallen.
- Single Name: Ein herkömmliches Zertifikat gilt nur für eine einzelne Domain. Das bedeutet, dass
www.example.comund alle Unterseiten dieser Website von dem SSL-Zertifikat abgedeckt werden, allerdings keine Subdomains. - Wildcard: Solche Zertifikate arbeiten mit einer Wildcard (englisch für Platzhalter). Statt beispielsweise nur
www.example.comzu erfassen, gelten diese SSL-Zertifikate zusätzlich für alle Subdomains. - Multi-Domain: Multi-Domain-Zertifikate (auch SAN-Zertifikate genannt) gehen über die Reichweite von Single-Name- oder Wildcard-Zertifikaten weit hinaus. So bieten viele Zertifizierungsstellen ihren Kunden Zertifikate an, die bis zu 100 Domains umfassen.
Woran erkennt man ein SSL-Zertifikat?
Wenn Sie einen aktuellen Browser verwenden, können Sie ganz leicht feststellen, ob Sie sich auf einer mit SSL/TLS gesicherten Website bewegen: Werfen Sie einen Blick auf die Adresszeile! Dort weisen zwei Dinge direkt auf eine Verschlüsselung hin:
- ein Schloss-Symbol
- die Adresse beginnt mit
https://statt dem eigentlich üblichenhttp://
Das zusätzliche „S“ steht dabei für Secure und signalisiert den Nutzerinnen und Nutzern, dass dem Hypertext Transfer Protocol eine zusätzliche SSL/TLS-Ebene hinzugefügt wurde. Im TCP/IP-Protokollstapel ist also eine zusätzliche Verschlüsselungsschicht eingefügt worden – zwischen TCP und HTTP.
Das Schloss ist in erster Linie ein offensichtliches Signal Ihres Browsers, das darauf hinweist, dass die besuchte Website ein gültiges Zertifikat besitzt. Zusätzlich handelt es sich – was viele Nutzerinnen und Nutzer gar nicht wissen – um einen Button, der Sie zu weiteren Informationen über die Sicherheit der Website führt. Nach einem Klick darauf öffnet sich ein Pop-up-Fenster mit Infos zum Aussteller des Zertifikats, zur verwendeten Verschlüsselung und zur Gültigkeitsdauer.
Hat die Internetseite, auf der Sie sich befinden, kein gültiges SSL-Zertifikat, sehen Sie weder ein Schloss noch das https:// in der Adresszeile. Zusätzlich warnen manche Browser, wenn Nutzerinnen und Nutzer auf solchen Websites versuchen, Passwörter oder andere sensible Daten an den Server zu übermitteln. Das Programm weist sie dann darauf hin, dass die Daten von Unbekannten abgefangen werden könnten.
Nur weil eine Website kein SSL-Zertifikat besitzt, muss es sich nicht zwangsläufig um eine betrügerische Website handeln. Allerdings ist das Risiko, dass kriminelle Dritte wichtige, persönliche Daten von Ihnen stehlen, auf solchen Seiten höher als auf Seiten mit SSL-Zertifikat. Insbesondere bei der Übertragung von sensiblen Daten ist HTTPS daher unverzichtbar.