Sichere Verbindungen im Internet

Wenn man von einem SSL Zertifikat spricht, handelt es sich um eine kleine Datendatei, die einen kryptografischen Schlüssel digital an die Details einer Organisation bindet. Wenn es auf einem Webserver installiert ist, aktiviert es das Sicherheitsschloss und das https-Protokoll und ermöglicht sichere Verbindungen von einem Webserver zu einem Browser. SSL wird in erster Linie verwendet, um Kreditkartentransaktionen, Logins und Datentransfers zu sichern, und wird mittlerweile immer mehr zur Norm bei der Sicherung des Browsers von Social-Media-Sites.

SLL-Zertifikate binden folgende Elemente zusammen:

  • Einen Domainnamen, Servernamen oder Hostnamen
  • Eine Organisationsidentität (d. h. einen Unternehmensnamen) und einen Standort

Um sichere Sitzungen mit Browsern beginnen zu können, muss eine Organisation das SSL-Zertifikat auf ihrem Webserver installieren. Sobald eine sichere Verbindung hergestellt wurde, ist der gesamte Webverkehr zwischen dem Webserver und dem Webbrowser sicher.

Ist das Zertifikat erfolgreich auf dem Server installiert, wird das Anwendungsprotokoll (auch http) zu HTTPs umgewandelt, wobei das „s“ für „secure“ steht.

Wie lange sind SSL-Zertifikate gültig?

Wie lange sind SSL-Zertifikate gültig?

Ein von den Browsern akzeptiertes Zertifikat ist nicht für immer gültig. Jedes SSL-Zertifikat ist vielmehr mit einem Ablaufdatum zwischen 3 und 24 Monaten versehen.

Ist diese Frist erreicht, muss der Betreiber das Zertifikat erneuern lassen, ansonsten werden die entsprechenden Seiten nicht mehr als besonders sicher ausgewiesen. Trotz des hohen Zeitaufwands und der hohen Kosten ist eine regelmäßige Erneuerung der Zertifikate daher notwendig.

Die Sicherheit der Nutzer lässt sich nämlich nur dann gewährleisten, wenn Authentifizierungsstellen regelmäßig die Integrität, Identität und die verwendeten Verschlüsselungsmechanismen überprüfen.

Warum genau benötigt man ein SSL Zertifikat?

Ein SSL-Zertifikat hilft einem, Online-Interaktionen im World Wide Web geheim zu halten. Kunden trauen Online-Shops und Websites wesentlich mehr, wenn diese als sicher gelten.

Bestellt ein Online-Händler ein SSL-Zertifikat, werden die Unternehmensdaten verifiziert und auf Basis dieser wird dann ein SSL-Zertifikat ausgestellt. Diesen Vorgang bezeichnet man als Authentifizierung.

Datendiebe und Hacker sind mittlerweile ein großer Teil der täglichen Berichtserstattung. Denn gerade die Websites, in welchen Endverbraucher private Daten angeben, sind wirtschaftlich interessant für Cyberkriminelle. Die Größe des Shops ist dabei irrelevant, viel mehr kommt es darauf an, was für Daten und wie viele dort angegeben sind. Deshalb sind kleinere Shops wie beispielsweise der Onlinehandel vom Dorfschneider genauso gefährdet, wie namenhafte, große Online-Händler.

Die Faust-Regel besagt: werden sensible Daten, also beispielsweise persönliche Angaben, wie die Adresse oder Bankverbindungen, abverlangt, muss die Verbindung verschlüsselt werden.

Es geht für kommerzielle Websites durch das IT-Sicherheitsgesetz auch eine gesetzliche Verpflichtung einher, Daten von Website-Besuchern zu schützen. Die Folge von Datenpannen können, neben dem zweifelsfrei entstehenden Image-Schaden, welcher oftmals kaum in Zahlen auszudrücken ist, finanzielle Einbußen sein. Hat man seine Verbindungen also online nicht verschlüsselt, sind Datenpannen nicht auszuschließen und realer als man glauben mag. Cyberkriminelle können Kundendaten nicht nur ausspionieren, sondern sogar verändern oder im Namen eines Kunden Bestellungen durchführen.

Ein weiterer Vorteil von SSL-Zertifikaten hat mit der Technik zu tun. Nachdem man ein SSL-Zertifikat installiert hat, können diese plattformunabhängig arbeiten. Es ist also egal, mit welchem Browser die verschlüsselte Website angesteuert wird, denn alle modernen Browser sind mit dem Prinzip vertraut.

Darüber hinaus profitieren Website-Betreiber auch bezüglich ihres Online-Marketings, denn Google gibt sicheren Websites in den Suchergebnislisten gern den Vorzug. Für den Suchmaschinenriesen gilt: Sicherheit geht vor! Ein SSL-Zertifikat ist also auch immer ein Stück weit Suchmaschinenoptimierung.

Wo erhalte ich ein SSL-Zertifikat?

SSL-Zertifikate müssen immer von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt werden. Betriebssysteme, Browser und mobile Geräte führen eine Liste von vertrauten Zertifizierungsstellen.

Damit dem Zertifikat vertraut wird, muss das Root-Zertifikat auf dem Computer des Endbenutzers vorhanden sein. Wird dem Endbenutzer nicht vertraut, zeigt der Browser diesem die Fehlermeldung „nicht vertrauenswürdig“ an. Solche Fehlermeldungen führen im Fall von E-Commerce zu sofortigem Vertrauensverlust in die Website.

Vertrauenswürdige Zertifizierungsstellen sind beispielsweise Unternehmen wie GlobalSign. Browser- und Betriebssystemhersteller wie Microsoft, Mozilla, Opera, Java, Blackberry vertrauen darauf, dass GlobalSign eine legitime Zertifizierungsstelle ist, und dass man sich auf diese Firma verlassen kann, vertrauenswürdige SSL-Zertifikate auszustellen. Je mehr Root die Zertifizierungsstelle in Anwendungen, Geräte und Browsern einbettet, umso bessere „Erkennung“ kann das SSL-Zertifikat liefern.

Die Wahl des richtigen SSL-Zertifikats?

Man kann SSL-Zertifikate grob nach den folgenden Kriterien unterscheiden:

  • Ausstellende Zertifizierungsstelle (Certificate Authority – CA)
  • Validierung (domainvalidiert, organisationsvalidiert oder Extended Validiation)
  • Zertifikatsart (Single – eine Domain, Wildcard – eine Domain + Subdomains oder Multidomains – mehrere Domains)

Domainvalidierte SSL-Zertifikate

Diese SSL-Zertifikate sind ideal für Non-Commerce-Seiten wie Blogs oder Foren.

Via E-Mail findet die Validierung der Domain statt, wobei ein Robot eine WHOIS-Adresse anfragt, um die Bestellung des domainvalidierten SSL-Zertifikats zu bestätigen. Es wird also lediglich geprüft, ob der Domain-Inhaber der Auftraggeber ist.

Unterschiede zwischen kostenlosen und kostenpflichtigen Zertifikaten

Wenn es um die reine Absicherung der Website geht, sodass diese nicht über gewöhnliches HTTP, sondern über HTTPS abgerufen werden kann, erfüllt ein kostenfreies Zertifikat die Anforderungen ebenso gut wie ein kostenpflichtiges.

Kostenlos und kostenpflichtige Zertifikate implementieren beide das Übertragungsprotokoll SSL bzw. TLS und machen den sicheren Datentransfer so für Clients und Server verbindlich.

Es gibt jedoch einige Punkte, in denen sich kostenpflichtige und kostenfreie Zertifikate voneinander unterscheiden:

Gültigkeit

Die Gültigkeit der meisten kostenlosen Zertifikate läuft bereits nach spätestens 90 Tagen ab. Die meisten kostenpflichtigen Zertifikate sind hingegen bis zwei Jahre lang gültig.

Wer sich also ein Free SSL/TLS zulegt, muss das Zertifikat demnach wesentlich öfter austauschen.

Validation-Level

Die Prüfung des Website-Betreibers ist bei der Ausstellung von kostenfreien Zertifikaten nicht sehr umfangreich.

Das typische Kontroll-Level ist hier die Domain Validation. Ein Zertifikat mit einer höheren Sicherheitsstufe ist immer kostenpflichtig.

Domain-Zugehörigkeit

Paid-SSL/TLS lassen im Gegensatz zu kostenlosen SSL-Zertifikaten auch domainübergreifende Zertifikate zu, welche für mehrere Websites eingesetzt werden können.

Die kostenfreie Lösung lässt sich also immer nur für eine einzelne Domain erzeugen.