Das Internet ist für viele Menschen ein wunderbarer Ort: frei verfügbare Informationen, globale Kommunikation, unbegrenzter Wissensaustausch. Doch nicht alle User im World Wide Web haben gute Absichten: Immer wieder lassen sich Kriminelle neue Methoden einfallen, wie sie anderen sensible Daten abgreifen können – beispielsweise E-Mail- oder Onlinebanking-Passwörter. Zu diesem Zweck setzen sie beispielsweise betrügerische Websites auf, die denen seriöser Unternehmen gleichen. Arglose Nutzern fallen auf diese Masche oft herein – und schon haben sie private Daten unbeabsichtigt an Kriminelle weitergegeben. Aber auch eigentlich harmlose Seiten können von Kriminellen missbraucht werden: Ist die Übertragung zwischen Ihnen und dem Server des Website-Betreibers nicht ausreichend gesichert, können Dritte den Datenstrom abgreifen.
Um die Daten der Internetnutzer vor solchen kriminellen Machenschaften zu schützen, hat man standardisierte SSL-Zertifikate etabliert. Damit versichert eine Website gegenüber dem Nutzer (oder genauer: gegenüber dem entsprechenden Browser): Ihre Daten sind bei uns sicher!
SSL-Zertifikate von 1&1 IONOS!
Wahren Sie dank SSL-Zertifikaten die Geheimhaltung Ihres Online-Verkehrs und stärken Sie das Vertrauen Ihrer Kunden in die Sicherheit Ihrer Webseite.
Geprüfte SicherheitBis zu 256-bit VerschlüsselungEinfache AktivierungSSL steht für Secure Sockets Layer. Dabei handelt es sich um ein Verschlüsselungsprotokoll im TCP/IP-Protokollstapel. Ein SSL-Zertifikat dient als verbindlicher Identitätsnachweis – darüber hinaus sind in dem Zertifikat oft Informationen enthalten, mit dem Browser und Server eine Verschlüsselung aufbauen können.
Inzwischen sollten Zertifikate gar nicht mehr mit dem veralteten SSL arbeiten, sondern auf das neuere und sicherere TLS (Transport Layer Security) setzen. Dennoch wird umgangssprachlich meist immer noch von SSL-Zertifikaten gesprochen, wenn es um Verschlüsselungsprotokolle geht. Das Zertifikat an sich ist ein Datensatz: In einer Datei sind zahlreiche Informationen enthalten – wie zum Beispiel der Name des Ausstellers, die Seriennummer oder auch der sogenannte Fingerabdruck für die Verschlüsselung. Zertifikate gibt es in verschiedenen Dateiformaten. Möchte der Website-Betreiber ein bestimmtes Zertifikat nutzen, muss er es auf dem Server installieren.
Um ein Zertifikat zu erhalten, müssen sich Website-Betreiber an eine Zertifizierungsstelle wenden. Diese Organisationen sind zur Ausstellung eines SSL-Zertifikats berechtigt, verlangen für ihren Dienst allerdings meist Gebühren. Doch warum kann nicht einfach jeder seine eigene Organisation gründen? Der Grund ist folgender: Die Hersteller von Browsern – wie beispielsweise Microsoft, Mozilla oder Google – müssen die Zertifikate auch akzeptieren, ansonsten hat das entsprechende Zertifikat nicht den geringsten Nutzen. Das musste auch das Softwarehaus Symantec feststellen: Nachdem Google dem Softwarehersteller das Vertrauen entzogen hat, werden dessen Zertifikate nun nicht mehr von Chrome unterstützt. Nutzer des Google-Browsers erhalten infolgedessen kein Verschlüsslungssymbol mehr, das auf eine sichere Datenübertragung hinweist, wenn sie auf einer Website surfen, die ein Symantec-Zertifikat verwendet.
Mehr über die Auseinandersetzung zwischen Google und Symantec und darüber, wie Website-Betreiber mit den Zertifikaten des Herstellers umgehen sollten, erfahren Sie in unserem Artikel "So ersetzen Sie ihr ungültiges SSL-Zertifikat".
Ein von den Browsern akzeptiertes Zertifikat ist aber keineswegs für immer gültig. Jedes SSL-Zertifikat ist vielmehr mit einem Ablaufdatum versehen. Wenn das erreicht ist, muss der Website-Betreiber das Zertifikat erneuern lassen, ansonsten werden die entsprechenden Seiten nicht mehr als besonders sicher ausgewiesen. Auch wenn die regelmäßige Erneuerung der Zertifikate für Betreiber von Websites sowohl zeitraubend als auch kostspielig sein kann, ist es dennoch notwendig. Denn nur wenn Authentifizierungsstellen regelmäßig die Integrität, Identität und die verwendeten Verschlüsselungsmechanismen überprüfen, lässt sich die Sicherheit der Nutzer gewährleisten.
Im SSL-Zertifikat ist übrigens nicht nur vermerkt, bis wann dieses gültig ist, sondern auch, ab wann sie gültig ist.
Es gibt mehrere Möglichkeiten, wie man Datentransfers verschlüsseln kann. Klassischerweise benötigt man einen Schlüssel, um etwas zu verschlüsseln, und den exakt gleichen Schlüssel, um die Nachricht wieder lesbar zu machen. Diese Methode ist im Internet aber nicht sinnvoll, denn Nutzer nehmen dort häufig Kontakt zu Personen oder Organisationen auf, mit denen sie außerhalb des Internet niemals zuvor kommuniziert haben. Es gibt folglich keine Möglichkeit, einen Schlüssel zu übergeben, ohne diesen zunächst unverschlüsselt über das öffentlich zugängliche Medium zu senden. Daher nutzen SSL-Zertifikate ein anderes Verfahren.
Bei einer Public-Key-Infrastruktur erstellt man nicht nur einen Schlüssel, sondern stattdessen zwei: einen komplett öffentlichen und einen privaten. Eine Nachricht verschlüsselt man mit dem öffentlichen Schlüssel – dem Public Key – und kann diese nur mit dem Private Key wieder dechiffrieren. Der öffentliche Schlüssel ist es dann, den der Browser über das Zertifikat erhält und zum Verschlüsseln verwendet. Zur Codierung der Informationen gibt es unterschiedliche Verfahren. Auch diesbezüglich liefert der Webserver dem Browser über das Zertifikat die notwendigen Infos.
Eine derzeit häufig verwendete Methode zur Codierung ist zum Beispiel AES (Advanced Encryption Standard) mit der kryptologischen Hashfunktion SHA256. Da sowohl Kriminelle als auch Krypto-Experten allerdings stetig damit beschäftigt sind, die Schwachstellen von Verschlüsselungsmechanismen aufzuspüren, ändern sich die Standards regelmäßig. Eine Methode, die letztes Jahr noch als unfehlbar galt, kann schon morgen geknackt werden und fortan als unsicher gelten.
Es gibt mehrere Arten von SSL-Zertifikaten. Obwohl es verschiedene Aussteller mit unterschiedlichsten Verifizierungsmechanismen gibt, sind diese Faktoren nicht die ausschlaggebenden Kriterien. Vielmehr unterscheidet man SSL-Zertifikate unter anderem danach, wie gründlich die Überprüfung des Antragstellers abläuft und wie groß die Reichweite der Zertifikate ist.
Man unterscheidet drei Arten von Überprüfung. Diese unterscheiden sich nicht nur hinsichtlich der Bearbeitungszeit, sondern auch hinsichtlich der damit zusammenhängenden Kosten. Während SSL-Zertifikate der Kategorie Domain Validation inzwischen kostenlos zu haben sind, können Privatpersonen und kleinere Unternehmen die Kosten für eine Extended Validation nur in den seltensten Fällen stemmen.
Die Domain Validation bildet die unterste Stufe der SSL-Zertifikate: Die Überprüfung des Personals hinter der Website-Adresse läuft entsprechend oberflächlich ab. Oftmals versendet die Authentifizierungsstelle lediglich eine E-Mail an die im WHOIS-Eintrag angegebene E-Mail-Adresse. Der Antragsteller wird darin zum Beispiel aufgefordert, einen DNS-Eintrag zu verändern oder eine bestimmte Datei auf seinen Server zu laden, um so die Kontrolle über die Domain zu signalisieren.
Der Überprüfungsvorgang kann vollständig automatisiert ablaufen und wird deshalb von vielen nicht als sicher angesehen. Manche Browser markieren daher ein DV-SSL-Zertifikat gesondert, um auf die im Vergleich zu anderen Zertifikaten geringeren Sicherheitsstandards hinzuweisen. Bei dieser Form von Zertifikat erhalten Sie zudem keine weiteren Informationen zum Besitzer der Website.
Das Projekt Let’s Encrypt, das unter anderem von Mozilla, Cisco und Google unterstützt wird, bietet solche DV-SSL-Zertifikate kostenlos an. Ziel des Projektes ist es, alle Website-Betreiber im World Wide Web zur Verschlüsselung zu bewegen. Inzwischen stammen ca. 80 % aller Zertifikate im Internet von Let’s Encrypt.
OV-SSL-Zertifikate sind eine Stufe höher anzusiedeln, was die Sicherheit der Besucher betrifft. Die Zertifizierungsstelle fordert im Rahmen der Validation Unterlagen vom Besitzer der Website an – meist nachdem der automatisierte Ablauf der Domain Validation erfolgt ist. Welche Dokumente konkret benötigt werden, ist von der Ausstellungsorganisation abhängig – häufig wird beispielsweise nach einem Handelsregisterauszug gefragt. Außerdem nehmen einige Authentifizierungsstellen zusätzlich telefonisch Kontakt zum Betreiber der Website auf. OV-SSL-Zertifikate liefern somit Internetnutzern mehr Sicherheit, da im Vorfeld stärker überwacht wurde, wer tatsächlich hinter der Website steckt. Zudem bieten sie den Vorteil, diese Information auch im Zertifikat selbst für jeden Nutzer einsehbar zu halten.
SSL-Zertifikate, die unter dem Label Extended Validation angeboten werden, bilden die höchste Sicherheitsstufe. Bei dieser Art von Zertifikaten werden sowohl die Domain und die damit in Verbindung stehende Organisation überprüft als auch der Antragsteller selbst. Man kontrolliert also auch, ob der Antragsteller tatsächlich bei der angegebenen Organisation oder dem angegebenen Unternehmen arbeitet und ob er dazu berechtigt ist, ein solches Zertifikat anzufordern. Darüber hinaus muss auch die Zertifizierungsstelle dazu bevollmächtigt sein, Extended Validation durchzuführen. Um autorisiert zu werden, muss die Stelle einer Überprüfung durch das CA/Browser-Forum standhalten. Dabei handelt es sich um einen freiwilligen Zusammenschluss von Zertifizierungsstellen und Browser-Herstellern.
Wenn man ein SSL-Zertifikat beantragt, sollte man darauf achten, wie weit dieses reicht – also auch darauf, ob zum Beispiel Subdomains unter das Zertifikat fallen.
Ein normales Zertifikat gilt nur für eine einzelne Domain. Das bedeutet, dass www.example.com und alle Unterseiten dieser Website von dem SSL-Zertifikat abgedeckt werden, allerdings keine Subdomains. Sollen diese ebenfalls abgedeckt werden, müssen Sie entweder ein weiteres Zertifikat beantragen oder ein Wildcard-Zertifikat erstehen.
Diese Zertifikate heißen so, weil sie mit einer Wildcard (englisch für Platzhalter) arbeiten. Statt beispielsweise nur www.example.com zu erfassen, gelten diese SSL-Zertifikate zusätzlich für alle Subdomains – also auch für mail.example.com oder blog.example.com. Sie werden in der Form ausgestellt: *.example.com. Das Sternchen symbolisiert dabei die Wildcard.
Multi-Domain-Zertifikate (auch SAN-Zertifikate genannt) gehen über die Reichweite von Single-Name- oder Wildcard-Zertifikaten weit hinaus. So bieten viele Zertifizierungsstellen ihren Kunden Zertifikate an, die bis zu 100 Domains umfassen. So können Antragsteller mit nur einem Zertifikat beispielsweise sowohl www.example.com als auch www.example.org absichern. Möglich ist dies über eine Subject-Alternative-Name-Extension – einem zusätzlichen Feld im Zertifikat, das alle weiteren Domains enthält.
Wenn Sie einen aktuellen Browser verwenden, können Sie ganz leicht feststellen, ob Sie sich auf einer mit SSL/TLS gesicherten Website bewegen: Werfen Sie einen Blick auf die Adresszeile! Dort weisen zwei Dinge direkt auf eine Verschlüsslung hin: Zum einen ein Schloss-Symbol und zum anderen beginnt die Adresse mit https:// statt dem eigentlich üblichen http://. Das zusätzliche S steht dabei für Secure und signalisiert den Nutzern, dass dem Hypertext Transfer Protocol eine zusätzliche SSL/TLS-Ebene hinzugefügt wurde. Im TCP/IP-Protokollstapel ist also eine zusätzliche Verschlüsselungsschicht eingefügt worden – zwischen TCP und HTTP.
Das (meist grüne) Schloss ist in erster Linie ein offensichtliches Signal Ihres Browsers, das darauf hinweist, dass die besuchte Website ein gültiges Zertifikat besitzt. Zusätzlich handelt es sich – was viele Nutzer gar nicht wissen – um einen Button, der Sie zu weiteren Informationen über die Sicherheit der Website führt. Nach einem Klick darauf öffnet sich ein Pop-up-Fenster mit Infos zum Aussteller des Zertifikats, zur verwendeten Verschlüsselung und zur Gültigkeitsdauer.
Verfügt die Website über ein gültiges EV-SSL-Zertifikat, stellen Browser neben dem grünen Schloss auch den Namen des Website-Betreibers da. Damit signalisiert der Browser dem User, dass die besuchte Seite einen hohen Grad an Sicherheit bietet.
Hat die Internetseite, auf der Sie sich befinden, kein gültiges SSL-Zertifikat, sehen Sie weder ein grünes Schloss noch das https:// in der Adresszeile. Zusätzlich warnen manche Browser, wenn Nutzer auf solchen Websites versuchen, Passwörter oder andere sensible Daten an den Server zu übermitteln. Das Programm weist sie dann darauf hin, dass die Daten von Unbekannten abgefangen werden könnten.
Die Warnung erscheint nur dann, wenn Sie persönliche Daten auf einer Seite übermitteln können. Google wird allerdings voraussichtlich ab Juli 2018 im Chrome-Browser alle derartigen HTTP-Websites als unsicher markieren.
Nur weil eine Website kein SSL-Zertifikat besitzt, muss es sich nicht zwangsläufig um eine betrügerische Website handeln. Allerdings ist das Risiko, dass kriminelle Dritte wichtige, persönliche Daten von Ihnen stehlen, auf solchen Seiten höher als auf Seiten mit SSL-Zertifikat. Insbesondere bei der Übertragung von sensiblen Daten ist HTTPS daher nahezu unverzichtbar.
Das Thema Datensicherheit wird zunehmend wichtiger, sowohl im privaten als auch im professionellen Bereich. Als Website-Betreiber sollte man alle nötigen Vorkehrungen treffen, um den Besuch auf seiner Seite so sicher wie möglich zu machen und eine risikofreie Datenübertragung zu gewährleisten. Die Umstellung von HTTP auf SSL bzw. HTTPS und SSL ist der erste Schritt auf die sichere Seite und zum...
HTTPS, das Netzwerkprotokoll für die TLS-verschlüsselte Datenübertragung im World Wide Web, lässt sich in manchen Fällen umgehen. Gefährlich wird es dann, wenn verschlüsselte Webseiten unverschlüsselt via HTTP aufgerufen werden. Die HTTPS-Erweiterung HSTS (HTTP Strict Transport Security) erzwingt jedoch den Webseitenaufruf via TLS-Verschlüsselung und schließt somit eine Sicherheitslücke, die von...
„Nicht sicher“ – dieser beunruhigende Hinweis prangt im neuesten Google-Browser Chrome 68 neben den Adressen all jener Webseiten, die nicht mittels HTTPS vor unbefugtem Zugriff geschützt sind. Google folgt mit dem Update weiterhin seiner Strategie, das Internet für die Nutzer sicherer zu gestalten. Für Webseitenbetreiber wird es daher allerhöchste Zeit, sich um ein gültiges Sicherheitszertifikat...
Schnell, sicher und State-of-the-Art – nutzen Sie unsere starke Plattform für Ihre Kunden
NEWSLETTER
