Seit der DSGVO sind SSL-Zertifikate für die Websites der meisten Unternehmen verpflichtend. Nicht SSL-zertifizierte Internetseiten werden auch von Browsern immer häufiger als unsicher markiert und von Suchmaschinen abgestraft.
Doch was genau ist ein SSL-Zertifikat überhaupt, was sind seine Vorteile und wie nutzt man es effizient?
Was sind SSL/TLS?
SSL (Secure Socket Layer) verschlüsseln die Kommunikation von zu übertragenden Daten, die zwischen einem Webserver und einem Webbrowser (Client) ausgetauscht werden. Bei der von der Netscape Communications Corporation entwickelten SSL-Verschlüsselung handelt es sich um ein hybrides Verschlüsselungsverfahren zur sicheren Datenübertragung. Nicht selten ist auch die Bezeichnung SSL/TLS zu lesen. Bei TLS (Transport Layer Security) handelt es sich um die gegenwärtige standardisierte Weiterentwicklung vom SSL-Zertifikat (oft auch „SSL Zertifikat“). SSL wurde mit Version 3.1 in TLS 1.0 umbenannt.
Da sich der Begriff SSL wegen seiner bestehenden Bekanntheit jedoch durchgesetzt hat, wird er immer noch weitläufig, so auch hier, für beide Verschlüsselungsprotokolle verwendet, sofern nicht explizit auf eine bestimmte Version verwiesen wird.
Was ist eine SSL-Verschlüsselung? – Die Antwort bekommen Sie in unserem IT-Lexikon.
Das SSL-Zertifikat
HTTPS (Hypertext Transfer Protocol Secure) bezeichnet ein Kommunikationsprotokoll, das das syntaktisch identische HTTP über eine Transportverschlüsselung mittels SSL/TLS verwendet. Durch die visuelle Änderung von HTTP in HTTPS kann man sehen, dass die Verbindung zwischen Server und Browser durch SSL gesichert ist.
Beim SSL-Zertifikat handelt es sich um einen Code, der von dem entsprechenden Webserver eingeholt und an den Webbrowser zurückgesendet wird. Das von einer Zertifizierungsstelle (Certificate Authority – CA) verifizierte digitale Zertifikat besteht aus einem Schlüsselpaar (öffentlich und privat) sowie beschreibenden Informationen zur Gültigkeit und zum Ablauf des digitalen Zertifikats. Der Browser überprüft hierbei, ob die Informationen stimmen und ob er mit dem gewünschten Webserver verbunden ist. Mit der Diffie-Hellman-Schlüsselaustauschvereinbarung wird überdies ein gemeinsames Geheimnis festgelegt und in einem ersten Testdurchlauf ausgetauscht.
Ein SSL-Zertifikat enthält Identifizierungsinformationen zur Verschlüsselung zwischen Browser und Server und ermöglicht somit eine gesicherte Verbindung. Die Hauptaufgaben von SSL-Zertifikaten sind hierbei die Authentifizierung von Eigenschaften und Identitäten der Kommunikationspartner durch asymmetrische Verschlüsselungsverfahren, die Sicherstellung einer Ende-zu-Ende-Datenübertragung mithilfe symmetrischer Verschlüsselungsverfahren sowie die Integrität der transportierten Daten.
SSL-Zertifikate erkennen und unterscheiden
Dass eine Website durch ein SSL-Zertifikat verschlüsselt ist, wird von nahezu jedem Browser durch visuelle Hervorhebungen eindeutig angezeigt. Das an HTTP angehängte „S“ (für „Secure“) signalisiert dem Browser, dass ein Zertifikat anzufordern ist. Auch der Benutzer erkennt durch den Aufruf von HTTPS eindeutig, dass es sich um eine „abhörsichere“ Verbindung handelt.
Ob eine Website eine SSL-Verschlüsselung nutzt, sieht man zudem an einem kleinen, meistens grau oder grün eingefärbten Vorhängeschloss-Icon, das sich (abhängig vom Browser) an oder in der Adresszeile befindet. Das verwendete SSL-Zertifikat wird, klickt man darauf, angezeigt. Unter anderem ist hier die Versionsnummer sowie die Art des SSL-Zertifikats einzusehen.
Es können grob drei Arten von SSL-Zertifikaten voneinander unterschieden werden. Sie weisen unterschiedliche Anforderungen auf, die für die Ausstellung des entsprechenden Zertifikats erfüllt sein müssen.
1. Das Domain-Validated-Zertifikat (DV)
Das Domain-Validated-Zertifikat (DV) ist das am häufigsten verwendete SSL-Zertifikat. Für die Ausstellung eines DV-Zertifikats kontrolliert eine Zertifizierungsstelle, ob der Auftraggeber auch der Inhaber der Website ist. Die Domain verifiziert diesen in einem E-Mail-Verfahren. Die E-Mail wird hierbei an eine WHOIS-Adresse versendet und von dieser bestätigt.
Die Hauptvorteile von Domain-Validated-Zertifikaten sind, dass sie fast sofort ausgestellt werden und keine Unterlagen benötigen. Zudem sind sie äußerst kostengünstig bzw. sogar kostenlos. Diese Art SSL-Zertifikat eignet sich optimal für jede Form von privater Website sowie für sämtliche Blogs, Wikis und Foren.
2. Das Organisation-Validation-Zertifikat (OV)
Optisch unterscheidet sich das Organisation-Validation-Zertifikat (OV) nicht vom Domain-Validated-Zertifikat. Die Darstellung des Schloss-Icons markiert die beiden SSL-Zertifikate grafisch. Klickt man als Benutzer jedoch auf das Icon, so kann man die beiden Arten der Zertifikate unterscheiden. Nur das OV-Zertifikat zeigt das Unternehmen an, das für die Website verantwortlich ist.
Bei der Ausstellung eines Organisation-Validation-Zertifikats findet neben der Domaininhaberschaft eine Identitätsprüfung des Domaininhabers statt. Im Rahmen hiervon werden Bankdaten, Handelsregister und Telefonnummern kontrolliert. OV-Zertifikate kosten im Regelfall erheblich mehr und dauern in ihrer Ausstellung länger als DV-Zertifikate.
3. Das Extended-Validation-Zertifikat (EV)
Beim Extended-Validation-Zertifikat (EV) handelt es sich um ein SSL-Zertifikat, das die höchste Sicherheit signalisiert. Das SSL-Zertifikat durchläuft eine hochsichere Validierung, bei der die Zertifizierungsstelle die Befugnis des Antragstellers überprüft und authentifiziert.
Hochsicherheits-Browser sind in der Lage, EV-Zertifikate zu erkennen. Die sichere Authentifizierung wird durch eine angepasste Browseroberfläche dargestellt. EV-zertifizierte Seiten sind mit einem grünen Kasten in der Adressleiste ausgestattet, in dem der Name der Organisation und der Zertifizierungsstelle steht. Alternativ findet man auch eine Grünmarkierung der gesamten Adressleiste. Diese Art von SSL-Zertifikat richtet sich vor allem an Behördenseiten, große Onlineshops oder die Websites von Banken.
Vorteile von SSL-Verschlüsselungen
Alle gängigen Webbrowser warnen bereits seit längerem vor dem Aufruf von nicht mit SSL-Zertifikaten verschlüsselten Websites. Bisher wurden nicht verschlüsselte Seiten zumeist durch ein rot durchgestrichenes oder geöffnetes Vorhängeschloss dargestellt.
Vermehrt gehen Browser jetzt aber dazu über, Seiten, die nicht mit SSL-Verschlüsselungen gesichert sind, auch als „nicht sicher“ zu kennzeichnen. Vor allem aber kommt es bei immer mehr Browsern auch zu Anzeigefeldern mit Warnungen oder anderen Warnhinweisen. Auch werden mit SSL-Verschlüsselungen zertifizierte Internetseiten von Suchmaschinen immer besser bewertet, nicht zertifizierte Seiten werden hingegen vermehrt abgestraft.
Ein weiterer klarer Vorteil von SSL-Zertifikaten ist, dass durch die verwendeten Verschlüsselungsprotokolle die erhöhte Sicherheit Ihrer Website visuell dargestellt wird. Sie sichern Ihnen also das Vertrauen von Besuchern und potentiellen Kunden und lassen Sie vertrauens- und glaubwürdig erscheinen.
Die Pflicht von SSL-Verschlüsselungen
Aufgrund von stetig steigenden Bedenken zur Cyber-Sicherheit sind viele Benutzer sensibilisiert, auf Warnhinweise Ihres Browsers zu achten und eine Seite, die als „nicht sicher“ markiert ist, generell eher zu meiden.
Nicht zu Unrecht, denn jede unverschlüsselte Verbindung kann prinzipiell von Dritten abgefangen und mitgelesen werden. Daher ist es wichtig, Verbindungen zwischen Server und Client – beispielsweise mit einem SSL-Zertifikat – stets zu verschlüsseln. Verfügt ein Webserver nämlich über ein Verschlüsselungsverfahren, so ist die Datenübertragung sicher. Vor allem bei der Eingabe von sensiblen Daten wie Passwörtern oder Bankverbindungen ist darauf zu achten, dass es sich um eine verschlüsselte, also sichere Verbindung handelt.
Die gesetzliche Pflicht von SSL-Verschlüsselungen
Bereits seit Inkrafttreten von § 13 Abs. 7 des Telemediengesetzes (TMG) Anfang 2016 sind Webseitenbetreiber dazu verpflichtet, durch Verschlüsselungsverfahren personenbezogene Daten vor Zugriffen von Dritten zu schützen. Aufgrund strittiger Definition sind jedoch viele Betreiber diesem Gesetz nicht gefolgt.
Seit dem 25. Mai 2018, dem Inkrafttreten der DSGVO, müssen jetzt aber EU-weit alle personenbezogenen Daten ausnahmslos so verarbeitet werden, dass ihre angemessene Sicherheit gewährleistet ist. Mit Art. 32 Abs. 1 lit. DSGVO wird hierbei die Annahme zur Integrität und Vertraulichkeit gemäß Art. 5 Abs. 1 lit. DSGVO konkretisiert und die Verschlüsselung als adäquate technische Maßnahme für die Sicherheit von Daten benannt. Verschlüsselungszertifikate wie SSL-Zertifikate sind somit seit diesem Stichtag für alle Internetseiten Pflicht, die persönliche Daten erheben.
Zu einer Erhebung von personenbezogenen Daten kommt es nach § 13 Abs. 7 lit. TMG bereits durch Formulare jeder Art (wie bspw. Kontakt-, Bestell-, oder Loginformulare ).
IP-Adressen als personenbezogene Daten?
Ob es sich sogar bei IP-Adressen um personenbezogene Daten handelt, ist zu dieser Zeit (Stand September 2018) noch unklar, da es seit der DSGVO bisher noch kein Urteil gab. In einem Urteil vom 24.11.2011 (C-70/10) hat der EuGH jedoch bereits festgelegt, dass es sich bei dynamischen IP-Adressen für Webhoster um personenbezogene Daten handelt.
Sollten dynamische IP-Adressen auch nach der DSGVO als personenbezogene Daten verstanden werden, sind alle Websites ausnahmslos zu verschlüsseln. Es sollte jedoch nicht erst auf ein Urteil gewartet werden. Alle Internetseiten mit SSL-Zertifikaten zu verschlüsseln, dürfte Ihnen eine ganze Reihe an Vorteilen bringen.
DSGVO-konform? Na klar!
Sie benötigen Unterstützung bei der Umsetzung der DSGVO? Die Dienstleister des IT-SERVICE.NETWORK sind für Sie da!
Zur IT-SicherheitAls unsicher markierte SSL-Zertifikate
Potentiell kann sich jeder Webmaster SSL-Verschlüsselungen selbst ausstellen und signieren. Das sogenannte selbstsignierte SSL-Zertifikat funktioniert jedoch oftmals nicht und wird von Browsern beispielsweise durch eine rote Einfärbung des Schriftzugs HTTPS als unsicher markiert. Hiervon ist dringlich abzuraten.
Doch auch nicht selbstsignierte SSL-Zertifikate werden von Browsern abgestraft. SSL-Zertifikate von Symantec werden so seit dem Chrome-Update auf Version 66 und seit dem Firefox-Update auf Version 60 und 63 als unsicher markiert. Google begründet diese Entscheidung damit, dass das Vertrauensverhältnis zu Symantec irreperabel gestört sei.
Die Gefahr bei kostenlosen SSL-Zertifikaten
Bekanntester Anbieter von kostenfreien, domainvalidierten SSL-Zertifikaten ist die seit Ende 2015 bestehende Zertifizierungsstelle Let’s Encrypt, mit der die Erstellung, Validierung und Verlängerung von SSL-Zertifikaten automatisiert erfolgt. Das Konzept von Let’s Encrypt, SSL-Verschlüsselungen für jeden zur Verfügung zu stellen, ist aufgegangen.
Jedoch verbirgt sich hinter kostenlosen SSL-Zertifikaten auch eine ganze Bandbreite an Gefahren. So nutzen immer mehr Phisher diese Art von Zertifikaten für ihre gefälschten Websites, um seriös zu erscheinen. Ein im März 2017 veröffentlichter Report zeigt, dass in zwei Monaten circa 14.000 Zertifikate ausgestellt wurden, in deren Domainname der Begriff „paypal“ verwendet wurde. Oftmals, so die Untersuchung, handelt es sich um Phishing-Websites, die Kopien von der offiziellen PayPal-Website darstellen.
Ein Blick ins Internet zeigt, dass SSL-Zertifikate bei Usern daher schnell für Verwirrung sorgen. Denn weder HTTPS noch das Schloss-Icon zeigt an, dass die aufgesuchte Website sicher ist. Lediglich die Verbindungen zwischen dem zugehörigen Webserver, der ein Verschlüsselungsverfahren wie die SSL-Verschlüsselung verwendet, und Ihrem Webbrowser ist sicher.
Die Beschaffung eines SSL-Zertifikats
Browser schenken besonders bekannten Zertifizierungsstellen ihr Vertrauen. Der Preis eines SSL-Zertifikats hängt nicht nur von seiner Art (DV, OV, EV), sondern auch der Reputation der Zertifizierungsstelle ab. Die Gültigkeitsdauer beeinflusst ebenfalls den Preis; die gängige Laufzeit eines individuellen, kostenpflichtigen Zertifikats beträgt 12 Monate.
Kaufen Sie daher persönlich ausgestellte Zertifikate bei einer entsprechenden Zertifizierungsstelle oder geben Sie diese wichtige Aufgabe an einen regionalen und kompetenten IT-Dienstleister ab, der sich mit Verschlüsselungsverfahren bestens auskennt und für Sie ein optimales SSL-Zertifikat besorgt. Kombinieren Sie diesen Service mit dem Webhosting Management und lassen Sie sich in allen Belangen um Ihre Website kompetent unterstützen.
Schreiben Sie einen Kommentar
* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung