SSL-Zertifikat
Was muss ich darüber wissen?

ssl-zertifikate.de – Ihre Wissensplattform rund um SSL-Verschlüsselung

Ist die Kommunikation zwischen Server und Browser (Client), also zwischen Website-Besucher und Onlinegeschäft verschlüsselt, zeigen Browser ein Schloss-Symbol als Sicherheitsindikator an. Um solch eine verschlüsselte Verbindung aufzubauen wird ein SSL-Zertifikat benötigt.

Diese hochwertige SSL-Verschlüsselung überträgt geschützt die Inhalte der Website sowie alle eingegebenen Daten zwischen Browser und Server. Beispielsweise wird ein eingegebenes Passwort zunächst beim Client (dem Website-Besucher) verschlüsselt, anschließend chiffriert übertragen und erst vom Webserver entschlüsselt. Einem Hacker, dem es gelingen würde, den Datenverkehr abzufangen, blieben so lediglich verschlüsselte Schnipsel, die weder manipuliert noch gelesen werden können.

Neben dem Schloss-Symbol signalisiert der Browser mit einem weiteren Sicherheitsindikator, dem „https“, dass eine verschlüsselte Verbindung aufgebaut wurde. http steht für „Hypertext Transfer Protocol“ und verfolgt die Aufgabe, aufgerufene Websites vom jeweiligen Server in den Web-Browser zu laden. Dasselbe erfüllt auch https, jedoch mit dem Zusatz „s“ für „Secure“: Dieses Protokoll lädt Websites verschlüsselt in den Browser und stellt somit eine abhörsichere Verbindung her.

Die grüne Adressleiste im Browser signalisiert Website-Besuchern höchste Sicherheit. Browser sind also in der Lage, zu erkennen, ob ein SSL-Zertifikat diese hochsichere Validierung durchlaufen hat. Trifft dies zu, wird die Adressleiste grün mit „https“ und geschlossenem Vorhängeschloss angezeigt. Neben der Internetadresse werden der Name der Organisation sowie die authentifizierende Zertifizierungsstelle angezeigt. Besucher sehen so auf einen Blick, dass die besuchte Website die branchenweit strengsten Authentifizierungsstandards erfüllt. Ausschließlich Extended Validation SSL-Zertifikate (kurz: EV-Zertifikate) geben diesen optischen Sicherheitsfaktor aus. EV-Zertifikate sind SSL-Zertifikate mit einer ausgereiften und sicheren Authentifizierung (Validierung) des Zertifikatbestellers.

Warum benötige ich ein SSL-Zertifikat?

Im World Wide Web gewährleisten SSL-Zertifikate das Geheimhalten von Online-Interaktionen. Kunden vertrauen Websites und Online-Shops, die als sicher gelten, wesentlich stärker. Wenn ein Online-Händler ein SSL-Zertifikat anfordert, werden die Unternehmensdaten verifiziert und auf Basis dieser wird ein SSL-Zertifikat ausgestellt. Dieser Vorgang wird als Authentifizierung bezeichnet.

Hacker, Phisher und Datendiebe sind heutzutage Teil der täglichen Berichterstattung. Gerade Websites, auf denen private Daten angegeben werden, sind wirtschaftlich interessant für Cyberkriminelle. Ihnen kommt es keinesfalls auf die Größe eines Shops an, sondern auf die Daten. Damit ist der kleine „Tante-Emma-2.0-Shop“ genauso gefährdet wie namhafte Online-Händler. Die Faustregel lautet: werden persönliche Daten (Kommentare mit E-Mail-Adresse, Bestellungen, Zahlungsdaten, etc.) abverlangt, muss die Verbindung verschlüsselt werden. Mit dem IT-Sicherheitsgesetz geht für kommerzielle Websites auch eine gesetzliche Verpflichtung einher, Daten von Website-Besuchern zu schützen.

Datenpannen können – neben dem zweifelsfrei entstehenden Image-Schaden, der oftmals kaum in Zahlen auszudrücken ist – finanzielle Einbußen zur Folge haben. Ohne eine verschlüsselte Verbindung sind Datenpannen mehr als wahrscheinlich – für kleine Shops ist diese Bedrohung genauso real wie für große Händler. Unbefugte Dritte können Kundendaten nicht nur ausspionieren, sondern sogar verändern oder im Namen eines Kunden Bestellungen durchführen. SSL-Zertifikate verhindern, dass sich Cyberkriminelle als Webserver ausgeben und Daten missbrauchen. Ein weiterer Vorteil von SSL-Zertifikaten trifft die technische Seite: Nach der Installation können SSL-Zertifikate plattformunabhängig arbeiten. Mit welchem Browser die verschlüsselte Website angesteuert wird, ist egal, da alle modernen Browser mit dem Prinzip vertraut sind. Mangelnde Erreichbarkeiten ergeben sich also nicht. Eine zusätzliche Software muss nicht installiert werden, sodass die SSL-Verbindung jederzeit aufgerufen werden kann. Website-Betreiber profitieren darüber hinaus auch bezüglich ihres Online-Marketings: Der Suchmaschinenriese Google gibt sicheren Websites in den Suchergebnislisten gerne den Vorzug – Sicherheit geht vor! Ein SSL-Zertifikat ist also auch immer ein Stück weit Suchmaschinenoptimierung.

Aus Kundensicht stärken Online-Händler, die auf EV-Zertifikate setzen, das Vertrauen ungemein. Die Hemmschwelle, persönliche Daten inklusive Zahlungsdaten bei einem Online-Shop einzugeben, sinkt und einer Bestellung steht nichts mehr im Wege. SSL-Zertifikate bzw. die grüne Adressleiste geben Besuchern Hinweise auf einen vertrauenswürdigen Anbieter. Je mehr Vertrauen vorherrscht, umso eher gelingt die Kundenbindung.

Welche Unterschiede gibt es bei SSL-Zertifikaten?

Die Wahl des richtigen SSL-Zertifikats

Grob unterscheiden lassen sich SSL-Zertifikate nach diesen Kriterien:

• Ausstellende Zertifizierungsstelle Certificate Authority (CA) -
• Validierung (domain- oder organisationsvalidiert sowie Extended Validation) -
• Zertifikatsart: Single (eine Domain), Wildcard (eine Domain + Subdomains) oder Multidomain (mehrere Domains) -

Sind SSL-Zertifikate sicher?

Mit einem SSL-Zertifikat, und dabei insbesondere mit den umfangreich validierten EV-Zertifikaten, geben Online-Händler nicht nur das Gefühl von Sicherheit, sondern garantieren auch ein Höchstmaß an Sicherheit. Ein SSL-Zertifikat gewährleistet die private und sichere Kommunikation im öffentlichen Internet. Daten werden von einem speziellen Schlüssel so kodiert, dass sie weder ausgelesen noch abgehört werden können. Aus Expertensicht gilt SSL als sicher, wobei entscheidend dafür die Schlüssellänge ist. EV-Zertifikate sind von Haus aus mit 256 Bit gesichert und folgen damit einheitlichen, strengen Standards. Ein Extended Validation-Zertifikat beweist die Service-Fähigkeit vieler Online-Shops, da Kunden mehr Sicherheit erfahren.

Jede moderne Technologie kommt früher oder später an den Punkt, an dem sie durchschaut und ausgenutzt wird. Verschlüsselung per se ist sicher, jedoch existieren unsichere Verfahren. Verantwortlich für das Standardisieren von Verschlüsselungsverfahren und -parametern zeigt sich die Internet Engineering Task Force (IETF). Dieses Standardisierungsgremium fürs Internet verfügt zwar über keine Möglichkeiten, die Einhaltung seiner Standards zu erzwingen, allerdings halten sich Zertifizierungsstellen an die Standards. Durch die Weiterentwicklung der Verschlüsselungsverfahren sind Krypto-Experten den Cyberkriminellen mindestens eine Nasenlänge voraus: Verfahren werden bereits weiterentwickelt, bevor es zu Sicherheitslücken kommt. Jüngstes Beispiel ist der SHA-1-Hash-Algorithmus: SHA-1-Signaturen gelten als nicht mehr sicher, weshalb neue Zertifikate ausschließlich mit SHA-2-Signatur ausgestellt und alte, SHA-1-signierte Zertifikate ausgetauscht werden. Alle SSL-Zertifikate, die aus namhaften, vertrauenswürdigen Quellen stammen, beinhalten aktuelle Standards. Neubesteller und Zertifikatsinhaber müssen sich also nicht mit kompromittierten Zertifikaten auseinandersetzen. Bis heute sind diese modernen Standards nicht geknackt worden. Voraussetzung dafür ist jedoch immer, dass SSL-Zertifikate korrekt implementiert und konfiguriert werden.

Woran Sie eine gute Zertifizierungsstelle erkennen

SSL-Zertifikate sind eine verbriefte Sicherheit im World Wide Web. Jedoch ist diese Sicherheit nur dann gegeben, wenn Ihr SSL-Zertifikat von einer Zertifizierungsstelle (Certificate Authority, CA) stammt, die als vertrauenswürdig gilt. Wer entscheidet eigentlich, was eine CA vertrauenswürdig macht? An welchen Parametern können Sie als Anwender und nicht als Experte, eine vertrauenswürdige Zertifizierungsstelle erkennen?

Eine vertrauenswürdige CA erkennen sie unter anderem daran:

Die Root-Zertifikate sind in dem Stammspeicher von Mozilla, Microsoft, Apple enthalten

Nachweis über ein Web Trust- oder ETSI-Audit (erkennt man an dem Logo auf der Webseite)

Veröffentlichung der Certificate Policy (CP) sowie des Certificate Practice Statements (CPS)

Einsatz von zukunftsträchtigen Algorithmen und Hash-Funktionen

Mitgliedschaft im CA/B-Forum

Haben Sie weiter Fragen zu SSL-Zertifikaten?

Schreiben Sie uns, wir antworten gerne

Jetzt Frage stellen

Stellen Sie uns Ihre Frage

Wir werden alle Antworten sobald als möglich auf
www.ssl-zertifikate.de veröffentlichen

Wir schätzen Ihre Privatsphäre und sehen es als selbstverständlich, dass Sie keine Spam-Mails von uns erhalten.

Impressum | © 2015 ssl-zertifikate.de