SSL-Zertifikat

Das Internet ist für viele Menschen ein wunderbarer Ort: frei verfügbare Informationen, globale Kommunikation, unbegrenzter Wissensaustausch. Doch nicht alle User im World Wide Web haben gute Absichten: Immer wieder lassen sich Kriminelle neue Methoden einfallen, wie sie anderen sensible Daten abgreifen können – beispielsweise E-Mail- oder Onlinebanking-Passwörter. Zu diesem Zweck setzen sie beispielsweise betrügerische Websites auf, die denen seriöser Unternehmen gleichen. Arglose Nutzern fallen auf diese Masche oft herein – und schon haben sie private Daten unbeabsichtigt an Kriminelle weitergegeben. Aber auch eigentlich harmlose Seiten können von Kriminellen missbraucht werden: Ist die Übertragung zwischen Ihnen und dem Server des Website-Betreibers nicht ausreichend gesichert, können Dritte den Datenstrom abgreifen.

Um die Daten der Internetnutzer vor solchen kriminellen Machenschaften zu schützen, hat man standardisierte SSL-Zertifikate etabliert. Damit versichert eine Website gegenüber dem Nutzer (oder genauer: gegenüber dem entsprechenden Browser): Ihre Daten sind bei uns sicher!

Inzwischen sollten Zertifikate gar nicht mehr mit dem veralteten SSL arbeiten, sondern auf das neuere und sicherere TLS (Transport Layer Security) setzen. Dennoch wird umgangssprachlich meist immer noch von SSL-Zertifikaten gesprochen, wenn es um Verschlüsselungsprotokolle geht. Das Zertifikat an sich ist ein Datensatz: In einer Datei sind zahlreiche Informationen enthalten – wie zum Beispiel der Name des Ausstellers, die Seriennummer oder auch der sogenannte Fingerabdruck für die Verschlüsselung. Zertifikate gibt es in verschiedenen Dateiformaten. Möchte der Website-Betreiber ein bestimmtes Zertifikat nutzen, muss er es auf dem Server installieren.

Um ein Zertifikat zu erhalten, müssen sich Website-Betreiber an eine Zertifizierungsstelle wenden. Diese Organisationen sind zur Ausstellung eines SSL-Zertifikats berechtigt, verlangen für ihren Dienst allerdings meist Gebühren. Doch warum kann nicht einfach jeder seine eigene Organisation gründen? Der Grund ist folgender: Die Hersteller von Browsern – wie beispielsweise Microsoft, Mozilla oder Google – müssen die Zertifikate auch akzeptieren, ansonsten hat das entsprechende Zertifikat nicht den geringsten Nutzen. Das musste auch das Softwarehaus Symantec feststellen: Nachdem Google dem Softwarehersteller das Vertrauen entzogen hat, werden dessen Zertifikate nun nicht mehr von Chrome unterstützt. Nutzer des Google-Browsers erhalten infolgedessen kein Verschlüsslungssymbol mehr, das auf eine sichere Datenübertragung hinweist, wenn sie auf einer Website surfen, die ein Symantec-Zertifikat verwendet.

Ein von den Browsern akzeptiertes Zertifikat ist aber keineswegs für immer gültig. Jedes SSL-Zertifikat ist vielmehr mit einem Ablaufdatum versehen. Wenn das erreicht ist, muss der Website-Betreiber das Zertifikat erneuern lassen, ansonsten werden die entsprechenden Seiten nicht mehr als besonders sicher ausgewiesen. Auch wenn die regelmäßige Erneuerung der Zertifikate für Betreiber von Websites sowohl zeitraubend als auch kostspielig sein kann, ist es dennoch notwendig. Denn nur wenn Authentifizierungsstellen regelmäßig die Integrität, Identität und die verwendeten Verschlüsselungsmechanismen überprüfen, lässt sich die Sicherheit der Nutzer gewährleisten.

Es gibt mehrere Möglichkeiten, wie man Datentransfers verschlüsseln kann. Klassischerweise benötigt man einen Schlüssel, um etwas zu verschlüsseln, und den exakt gleichen Schlüssel, um die Nachricht wieder lesbar zu machen. Diese Methode ist im Internet aber nicht sinnvoll, denn Nutzer nehmen dort häufig Kontakt zu Personen oder Organisationen auf, mit denen sie außerhalb des Internet niemals zuvor kommuniziert haben. Es gibt folglich keine Möglichkeit, einen Schlüssel zu übergeben, ohne diesen zunächst unverschlüsselt über das öffentlich zugängliche Medium zu senden. Daher nutzen SSL-Zertifikate ein anderes Verfahren.

Bei einer Public-Key-Infrastruktur erstellt man nicht nur einen Schlüssel, sondern stattdessen zwei: einen komplett öffentlichen und einen privaten. Eine Nachricht verschlüsselt man mit dem öffentlichen Schlüssel – dem Public Key – und kann diese nur mit dem Private Key wieder dechiffrieren. Der öffentliche Schlüssel ist es dann, den der Browser über das Zertifikat erhält und zum Verschlüsseln verwendet. Zur Codierung der Informationen gibt es unterschiedliche Verfahren. Auch diesbezüglich liefert der Webserver dem Browser über das Zertifikat die notwendigen Infos.

Eine derzeit häufig verwendete Methode zur Codierung ist zum Beispiel AES (Advanced Encryption Standard) mit der kryptologischen Hashfunktion SHA256. Da sowohl Kriminelle als auch Krypto-Experten allerdings stetig damit beschäftigt sind, die Schwachstellen von Verschlüsselungsmechanismen aufzuspüren, ändern sich die Standards regelmäßig. Eine Methode, die letztes Jahr noch als unfehlbar galt, kann schon morgen geknackt werden und fortan als unsicher gelten.

Es gibt mehrere Arten von SSL-Zertifikaten. Obwohl es verschiedene Aussteller mit unterschiedlichsten Verifizierungsmechanismen gibt, sind diese Faktoren nicht die ausschlaggebenden Kriterien. Vielmehr unterscheidet man SSL-Zertifikate unter anderem danach, wie gründlich die Überprüfung des Antragstellers abläuft und wie groß die Reichweite der Zertifikate ist.

Man unterscheidet drei Arten von Überprüfung. Diese unterscheiden sich nicht nur hinsichtlich der Bearbeitungszeit, sondern auch hinsichtlich der damit zusammenhängenden Kosten. Während SSL-Zertifikate der Kategorie Domain Validation inzwischen kostenlos zu haben sind, können Privatpersonen und kleinere Unternehmen die Kosten für eine Extended Validation nur in den seltensten Fällen stemmen.

Die Domain Validation bildet die unterste Stufe der SSL-Zertifikate: Die Überprüfung des Personals hinter der Website-Adresse läuft entsprechend oberflächlich ab. Oftmals versendet die Authentifizierungsstelle lediglich eine E-Mail an die im WHOIS-Eintrag angegebene E-Mail-Adresse. Der Antragsteller wird darin zum Beispiel aufgefordert, einen DNS-Eintrag zu verändern oder eine bestimmte Datei auf seinen Server zu laden, um so die Kontrolle über die Domain zu signalisieren.

Der Überprüfungsvorgang kann vollständig automatisiert ablaufen und wird deshalb von vielen nicht als sicher angesehen. Manche Browser markieren daher ein DV-SSL-Zertifikat gesondert, um auf die im Vergleich zu anderen Zertifikaten geringeren Sicherheitsstandards hinzuweisen. Bei dieser Form von Zertifikat erhalten Sie zudem keine weiteren Informationen zum Besitzer der Website.

OV-SSL-Zertifikate sind eine Stufe höher anzusiedeln, was die Sicherheit der Besucher betrifft. Die Zertifizierungsstelle fordert im Rahmen der Validation Unterlagen vom Besitzer der Website an – meist nachdem der automatisierte Ablauf der Domain Validation erfolgt ist. Welche Dokumente konkret benötigt werden, ist von der Ausstellungsorganisation abhängig – häufig wird beispielsweise nach einem Handelsregisterauszug gefragt. Außerdem nehmen einige Authentifizierungsstellen zusätzlich telefonisch Kontakt zum Betreiber der Website auf. OV-SSL-Zertifikate liefern somit Internetnutzern mehr Sicherheit, da im Vorfeld stärker überwacht wurde, wer tatsächlich hinter der Website steckt. Zudem bieten sie den Vorteil, diese Information auch im Zertifikat selbst für jeden Nutzer einsehbar zu halten.

SSL-Zertifikate, die unter dem Label Extended Validation angeboten werden, bilden die höchste Sicherheitsstufe. Bei dieser Art von Zertifikaten werden sowohl die Domain und die damit in Verbindung stehende Organisation überprüft als auch der Antragsteller selbst. Man kontrolliert also auch, ob der Antragsteller tatsächlich bei der angegebenen Organisation oder dem angegebenen Unternehmen arbeitet und ob er dazu berechtigt ist, ein solches Zertifikat anzufordern. Darüber hinaus muss auch die Zertifizierungsstelle dazu bevollmächtigt sein, Extended Validation durchzuführen. Um autorisiert zu werden, muss die Stelle einer Überprüfung durch das CA/Browser-Forum standhalten. Dabei handelt es sich um einen freiwilligen Zusammenschluss von Zertifizierungsstellen und Browser-Herstellern.

Wenn man ein SSL-Zertifikat beantragt, sollte man darauf achten, wie weit dieses reicht – also auch darauf, ob zum Beispiel Subdomains unter das Zertifikat fallen.

Ein normales Zertifikat gilt nur für eine einzelne Domain. Das bedeutet, dass www.example.com und alle Unterseiten dieser Website von dem SSL-Zertifikat abgedeckt werden, allerdings keine Subdomains. Sollen diese ebenfalls abgedeckt werden, müssen Sie entweder ein weiteres Zertifikat beantragen oder ein Wildcard-Zertifikat erstehen.

Diese Zertifikate heißen so, weil sie mit einer Wildcard (englisch für Platzhalter) arbeiten. Statt beispielsweise nur www.example.com zu erfassen, gelten diese SSL-Zertifikate zusätzlich für alle Subdomains – also auch für mail.example.com oder blog.example.com. Sie werden in der Form ausgestellt: *.example.com. Das Sternchen symbolisiert dabei die Wildcard.

Multi-Domain-Zertifikate (auch SAN-Zertifikate genannt) gehen über die Reichweite von Single-Name- oder Wildcard-Zertifikaten weit hinaus. So bieten viele Zertifizierungsstellen ihren Kunden Zertifikate an, die bis zu 100 Domains umfassen. So können Antragsteller mit nur einem Zertifikat beispielsweise sowohl www.example.com als auch www.example.org absichern. Möglich ist dies über eine Subject-Alternative-Name-Extension – einem zusätzlichen Feld im Zertifikat, das alle weiteren Domains enthält.

Hat die Internetseite, auf der Sie sich befinden, kein gültiges SSL-Zertifikat, sehen Sie weder ein grünes Schloss noch das https:// in der Adresszeile. Zusätzlich warnen manche Browser, wenn Nutzer auf solchen Websites versuchen, Passwörter oder andere sensible Daten an den Server zu übermitteln. Das Programm weist sie dann darauf hin, dass die Daten von Unbekannten abgefangen werden könnten.

Die Warnung erscheint nur dann, wenn Sie persönliche Daten auf einer Seite übermitteln können. Google wird allerdings voraussichtlich ab Juli 2018 im Chrome-Browser alle derartigen HTTP-Websites als unsicher markieren.