SSL-Zertifikat

Das Internet ist für viele Menschen ein wunderbarer Ort: frei verfügbare Informationen, globale Kommunikation, unbegrenzter Wissensaustausch. Doch nicht alle User im World Wide Web haben gute Absichten: Immer wieder lassen sich Kriminelle neue Methoden einfallen, wie sie anderen sensible Daten abgreifen können – beispielsweise E-Mail- oder Onlinebanking-Passwörter. Zu diesem Zweck setzen sie beispielsweise betrügerische Websites auf, die denen seriöser Unternehmen gleichen. Arglose Nutzern fallen auf diese Masche oft herein – und schon haben sie private Daten unbeabsichtigt an Kriminelle weitergegeben. Aber auch eigentlich harmlose Seiten können von Kriminellen missbraucht werden: Ist die Übertragung zwischen Ihnen und dem Server des Website-Betreibers nicht ausreichend gesichert, können Dritte den Datenstrom abgreifen.

Um die Daten der Internetnutzer vor solchen kriminellen Machenschaften zu schützen, hat man standardisierte SSL-Zertifikate etabliert. Damit versichert eine Website gegenüber dem Nutzer (oder genauer: gegenüber dem entsprechenden Browser): Ihre Daten sind bei uns sicher!

SSL-Zertifikate von 1&1 IONOS!

Wahren Sie dank SSL-Zertifikaten die Geheimhaltung Ihres Online-Verkehrs und stärken Sie das Vertrauen Ihrer Kunden in die Sicherheit Ihrer Webseite.

Geprüfte Sicherheit
Bis zu 256-bit Verschlüsselung
Einfache Aktivierung
Definition SSL

SSL steht für Secure Sockets Layer. Dabei handelt es sich um ein Verschlüsselungsprotokoll im TCP/IP-Protokollstapel. Ein SSL-Zertifikat dient als verbindlicher Identitätsnachweis – darüber hinaus sind in dem Zertifikat oft Informationen enthalten, mit dem Browser und Server eine Verschlüsselung aufbauen können.

Was ist ein SSL-Zertifikat?

Inzwischen sollten Zertifikate gar nicht mehr mit dem veralteten SSL arbeiten, sondern auf das neuere und sicherere TLS (Transport Layer Security) setzen. Dennoch wird umgangssprachlich meist immer noch von SSL-Zertifikaten gesprochen, wenn es um Verschlüsselungsprotokolle geht. Das Zertifikat an sich ist ein Datensatz: In einer Datei sind zahlreiche Informationen enthalten – wie zum Beispiel der Name des Ausstellers, die Seriennummer oder auch der sogenannte Fingerabdruck für die Verschlüsselung. Zertifikate gibt es in verschiedenen Dateiformaten. Möchte der Website-Betreiber ein bestimmtes Zertifikat nutzen, muss er es auf dem Server installieren.

Um ein Zertifikat zu erhalten, müssen sich Website-Betreiber an eine Zertifizierungsstelle wenden. Diese Organisationen sind zur Ausstellung eines SSL-Zertifikats berechtigt, verlangen für ihren Dienst allerdings meist Gebühren. Doch warum kann nicht einfach jeder seine eigene Organisation gründen? Der Grund ist folgender: Die Hersteller von Browsern – wie beispielsweise Microsoft, Mozilla oder Google – müssen die Zertifikate auch akzeptieren, ansonsten hat das entsprechende Zertifikat nicht den geringsten Nutzen. Das musste auch das Softwarehaus Symantec feststellen: Nachdem Google dem Softwarehersteller das Vertrauen entzogen hat, werden dessen Zertifikate nun nicht mehr von Chrome unterstützt. Nutzer des Google-Browsers erhalten infolgedessen kein Verschlüsslungssymbol mehr, das auf eine sichere Datenübertragung hinweist, wenn sie auf einer Website surfen, die ein Symantec-Zertifikat verwendet.

Hinweis

Mehr über die Auseinandersetzung zwischen Google und Symantec und darüber, wie Website-Betreiber mit den Zertifikaten des Herstellers umgehen sollten, erfahren Sie in unserem Artikel "So ersetzen Sie ihr ungültiges SSL-Zertifikat".

Ein von den Browsern akzeptiertes Zertifikat ist aber keineswegs für immer gültig. Jedes SSL-Zertifikat ist vielmehr mit einem Ablaufdatum versehen. Wenn das erreicht ist, muss der Website-Betreiber das Zertifikat erneuern lassen, ansonsten werden die entsprechenden Seiten nicht mehr als besonders sicher ausgewiesen. Auch wenn die regelmäßige Erneuerung der Zertifikate für Betreiber von Websites sowohl zeitraubend als auch kostspielig sein kann, ist es dennoch notwendig. Denn nur wenn Authentifizierungsstellen regelmäßig die Integrität, Identität und die verwendeten Verschlüsselungsmechanismen überprüfen, lässt sich die Sicherheit der Nutzer gewährleisten.

Fakt

Im SSL-Zertifikat ist übrigens nicht nur vermerkt, bis wann dieses gültig ist, sondern auch, ab wann sie gültig ist.

Es gibt mehrere Möglichkeiten, wie man Datentransfers verschlüsseln kann. Klassischerweise benötigt man einen Schlüssel, um etwas zu verschlüsseln, und den exakt gleichen Schlüssel, um die Nachricht wieder lesbar zu machen. Diese Methode ist im Internet aber nicht sinnvoll, denn Nutzer nehmen dort häufig Kontakt zu Personen oder Organisationen auf, mit denen sie außerhalb des Internet niemals zuvor kommuniziert haben. Es gibt folglich keine Möglichkeit, einen Schlüssel zu übergeben, ohne diesen zunächst unverschlüsselt über das öffentlich zugängliche Medium zu senden. Daher nutzen SSL-Zertifikate ein anderes Verfahren.

Bei einer Public-Key-Infrastruktur erstellt man nicht nur einen Schlüssel, sondern stattdessen zwei: einen komplett öffentlichen und einen privaten. Eine Nachricht verschlüsselt man mit dem öffentlichen Schlüssel – dem Public Key – und kann diese nur mit dem Private Key wieder dechiffrieren. Der öffentliche Schlüssel ist es dann, den der Browser über das Zertifikat erhält und zum Verschlüsseln verwendet. Zur Codierung der Informationen gibt es unterschiedliche Verfahren. Auch diesbezüglich liefert der Webserver dem Browser über das Zertifikat die notwendigen Infos.

Eine derzeit häufig verwendete Methode zur Codierung ist zum Beispiel AES (Advanced Encryption Standard) mit der kryptologischen Hashfunktion SHA256. Da sowohl Kriminelle als auch Krypto-Experten allerdings stetig damit beschäftigt sind, die Schwachstellen von Verschlüsselungsmechanismen aufzuspüren, ändern sich die Standards regelmäßig. Eine Methode, die letztes Jahr noch als unfehlbar galt, kann schon morgen geknackt werden und fortan als unsicher gelten.

Welche SSL-Zertifikate gibt es?

Es gibt mehrere Arten von SSL-Zertifikaten. Obwohl es verschiedene Aussteller mit unterschiedlichsten Verifizierungsmechanismen gibt, sind diese Faktoren nicht die ausschlaggebenden Kriterien. Vielmehr unterscheidet man SSL-Zertifikate unter anderem danach, wie gründlich die Überprüfung des Antragstellers abläuft und wie groß die Reichweite der Zertifikate ist.

Überprüfung

Man unterscheidet drei Arten von Überprüfung. Diese unterscheiden sich nicht nur hinsichtlich der Bearbeitungszeit, sondern auch hinsichtlich der damit zusammenhängenden Kosten. Während SSL-Zertifikate der Kategorie Domain Validation inzwischen kostenlos zu haben sind, können Privatpersonen und kleinere Unternehmen die Kosten für eine Extended Validation nur in den seltensten Fällen stemmen.

Domain Validation (DV)

Die Domain Validation bildet die unterste Stufe der SSL-Zertifikate: Die Überprüfung des Personals hinter der Website-Adresse läuft entsprechend oberflächlich ab. Oftmals versendet die Authentifizierungsstelle lediglich eine E-Mail an die im WHOIS-Eintrag angegebene E-Mail-Adresse. Der Antragsteller wird darin zum Beispiel aufgefordert, einen DNS-Eintrag zu verändern oder eine bestimmte Datei auf seinen Server zu laden, um so die Kontrolle über die Domain zu signalisieren.

Der Überprüfungsvorgang kann vollständig automatisiert ablaufen und wird deshalb von vielen nicht als sicher angesehen. Manche Browser markieren daher ein DV-SSL-Zertifikat gesondert, um auf die im Vergleich zu anderen Zertifikaten geringeren Sicherheitsstandards hinzuweisen. Bei dieser Form von Zertifikat erhalten Sie zudem keine weiteren Informationen zum Besitzer der Website.

Fakt

Das Projekt Let’s Encrypt, das unter anderem von Mozilla, Cisco und Google unterstützt wird, bietet solche DV-SSL-Zertifikate kostenlos an. Ziel des Projektes ist es, alle Website-Betreiber im World Wide Web zur Verschlüsselung zu bewegen. Inzwischen stammen ca. 80 % aller Zertifikate im Internet von Let’s Encrypt.

Organization Validation (OV)

OV-SSL-Zertifikate sind eine Stufe höher anzusiedeln, was die Sicherheit der Besucher betrifft. Die Zertifizierungsstelle fordert im Rahmen der Validation Unterlagen vom Besitzer der Website an – meist nachdem der automatisierte Ablauf der Domain Validation erfolgt ist. Welche Dokumente konkret benötigt werden, ist von der Ausstellungsorganisation abhängig – häufig wird beispielsweise nach einem Handelsregisterauszug gefragt. Außerdem nehmen einige Authentifizierungsstellen zusätzlich telefonisch Kontakt zum Betreiber der Website auf. OV-SSL-Zertifikate liefern somit Internetnutzern mehr Sicherheit, da im Vorfeld stärker überwacht wurde, wer tatsächlich hinter der Website steckt. Zudem bieten sie den Vorteil, diese Information auch im Zertifikat selbst für jeden Nutzer einsehbar zu halten.

Extended Validation (EV)

SSL-Zertifikate, die unter dem Label Extended Validation angeboten werden, bilden die höchste Sicherheitsstufe. Bei dieser Art von Zertifikaten werden sowohl die Domain und die damit in Verbindung stehende Organisation überprüft als auch der Antragsteller selbst. Man kontrolliert also auch, ob der Antragsteller tatsächlich bei der angegebenen Organisation oder dem angegebenen Unternehmen arbeitet und ob er dazu berechtigt ist, ein solches Zertifikat anzufordern. Darüber hinaus muss auch die Zertifizierungsstelle dazu bevollmächtigt sein, Extended Validation durchzuführen. Um autorisiert zu werden, muss die Stelle einer Überprüfung durch das CA/Browser-Forum standhalten. Dabei handelt es sich um einen freiwilligen Zusammenschluss von Zertifizierungsstellen und Browser-Herstellern.

Reichweite

Wenn man ein SSL-Zertifikat beantragt, sollte man darauf achten, wie weit dieses reicht – also auch darauf, ob zum Beispiel Subdomains unter das Zertifikat fallen.

Single-Name

Ein normales Zertifikat gilt nur für eine einzelne Domain. Das bedeutet, dass www.example.com und alle Unterseiten dieser Website von dem SSL-Zertifikat abgedeckt werden, allerdings keine Subdomains. Sollen diese ebenfalls abgedeckt werden, müssen Sie entweder ein weiteres Zertifikat beantragen oder ein Wildcard-Zertifikat erstehen.

Wildcard

Diese Zertifikate heißen so, weil sie mit einer Wildcard (englisch für Platzhalter) arbeiten. Statt beispielsweise nur www.example.com zu erfassen, gelten diese SSL-Zertifikate zusätzlich für alle Subdomains – also auch für mail.example.com oder blog.example.com. Sie werden in der Form ausgestellt: *.example.com. Das Sternchen symbolisiert dabei die Wildcard.

Multi-Domain

Multi-Domain-Zertifikate (auch SAN-Zertifikate genannt) gehen über die Reichweite von Single-Name- oder Wildcard-Zertifikaten weit hinaus. So bieten viele Zertifizierungsstellen ihren Kunden Zertifikate an, die bis zu 100 Domains umfassen. So können Antragsteller mit nur einem Zertifikat beispielsweise sowohl www.example.com als auch www.example.org absichern. Möglich ist dies über eine Subject-Alternative-Name-Extension – einem zusätzlichen Feld im Zertifikat, das alle weiteren Domains enthält.

Woran erkennt man ein SSL-Zertifikat?

Wenn Sie einen aktuellen Browser verwenden, können Sie ganz leicht feststellen, ob Sie sich auf einer mit SSL/TLS gesicherten Website bewegen: Werfen Sie einen Blick auf die Adresszeile! Dort weisen zwei Dinge direkt auf eine Verschlüsslung hin: Zum einen ein Schloss-Symbol und zum anderen beginnt die Adresse mit https:// statt dem eigentlich üblichen http://. Das zusätzliche S steht dabei für Secure und signalisiert den Nutzern, dass dem Hypertext Transfer Protocol eine zusätzliche SSL/TLS-Ebene hinzugefügt wurde. Im TCP/IP-Protokollstapel ist also eine zusätzliche Verschlüsselungsschicht eingefügt worden – zwischen TCP und HTTP.

Das (meist grüne) Schloss ist in erster Linie ein offensichtliches Signal Ihres Browsers, das darauf hinweist, dass die besuchte Website ein gültiges Zertifikat besitzt. Zusätzlich handelt es sich – was viele Nutzer gar nicht wissen – um einen Button, der Sie zu weiteren Informationen über die Sicherheit der Website führt. Nach einem Klick darauf öffnet sich ein Pop-up-Fenster mit Infos zum Aussteller des Zertifikats, zur verwendeten Verschlüsselung und zur Gültigkeitsdauer.

Fakt

Verfügt die Website über ein gültiges EV-SSL-Zertifikat, stellen Browser neben dem grünen Schloss auch den Namen des Website-Betreibers da. Damit signalisiert der Browser dem User, dass die besuchte Seite einen hohen Grad an Sicherheit bietet.

Hat die Internetseite, auf der Sie sich befinden, kein gültiges SSL-Zertifikat, sehen Sie weder ein grünes Schloss noch das https:// in der Adresszeile. Zusätzlich warnen manche Browser, wenn Nutzer auf solchen Websites versuchen, Passwörter oder andere sensible Daten an den Server zu übermitteln. Das Programm weist sie dann darauf hin, dass die Daten von Unbekannten abgefangen werden könnten.

Die Warnung erscheint nur dann, wenn Sie persönliche Daten auf einer Seite übermitteln können. Google wird allerdings voraussichtlich ab Juli 2018 im Chrome-Browser alle derartigen HTTP-Websites als unsicher markieren.

Fakt

Nur weil eine Website kein SSL-Zertifikat besitzt, muss es sich nicht zwangsläufig um eine betrügerische Website handeln. Allerdings ist das Risiko, dass kriminelle Dritte wichtige, persönliche Daten von Ihnen stehlen, auf solchen Seiten höher als auf Seiten mit SSL-Zertifikat. Insbesondere bei der Übertragung von sensiblen Daten ist HTTPS daher nahezu unverzichtbar.


Auf dem Laufenden bleiben?

Jetzt für unseren Newsletter anmelden und
gratis Online-Marketing Whitepaper
sichern.