IT-Sicherheit

Das SSL-Zertifikat

SSL-Verschlüsselungen für Ihre Unternehmenswebsite

von 04.10.2018
sicherheitszertifikat
Ein Sicherheitszertifikat für Webseiten ist Pflicht. Bild: Screenshot

Seit der DSGVO sind SSL-Zertifikate für die Websites der meisten Unternehmen verpflichtend. Nicht SSL-zertifizierte Internetseiten werden auch von Browsern immer häufiger als unsicher markiert und von Suchmaschinen abgestraft.
Doch was genau ist ein SSL-Zertifikat überhaupt, was sind seine Vorteile und wie nutzt man es effizient?

Website mit SSL-Zertifikat

Die meisten Browser zeigen eindeutig an, dass eine Website mit einem SSL-Zertifikat ausgestattet ist. (Bild: pixabay.de/skylarvision)

Was sind SSL/TLS?

SSL (Secure Socket Layer) verschlüsseln die Kommunikation von zu übertragenden Daten, die zwischen einem Webserver und einem Webbrowser (Client) ausgetauscht werden. Bei der von der Netscape Communications Corporation entwickelten SSL-Verschlüsselung handelt es sich um ein hybrides Verschlüsselungsverfahren zur sicheren Datenübertragung. Nicht selten ist auch die Bezeichnung SSL/TLS zu lesen. Bei TLS (Transport Layer Security) handelt es sich um die gegenwärtige standardisierte Weiterentwicklung vom SSL-Zertifikat (oft auch „SSL Zertifikat“). SSL wurde mit Version 3.1 in TLS 1.0 umbenannt.
Da sich der Begriff SSL wegen seiner bestehenden Bekanntheit jedoch durchgesetzt hat, wird er immer noch weitläufig, so auch hier, für beide Verschlüsselungsprotokolle verwendet, sofern nicht explizit auf eine bestimmte Version verwiesen wird.

Was ist eine SSL-Verschlüsselung? – Die Antwort bekommen Sie in unserem IT-Lexikon.

Das SSL-Zertifikat

HTTPS (Hypertext Transfer Protocol Secure) bezeichnet ein Kommunikationsprotokoll, das das syntaktisch identische HTTP über eine Transportverschlüsselung mittels SSL/TLS verwendet. Durch die visuelle Änderung von HTTP in HTTPS kann man sehen, dass die Verbindung zwischen Server und Browser durch SSL gesichert ist.
Beim SSL-Zertifikat handelt es sich um einen Code, der von dem entsprechenden Webserver eingeholt und an den Webbrowser zurückgesendet wird. Das von einer Zertifizierungsstelle (Certificate Authority – CA) verifizierte digitale Zertifikat besteht aus einem Schlüsselpaar (öffentlich und privat) sowie beschreibenden Informationen zur Gültigkeit und zum Ablauf des digitalen Zertifikats. Der Browser überprüft hierbei, ob die Informationen stimmen und ob er mit dem gewünschten Webserver verbunden ist. Mit der Diffie-Hellman-Schlüsselaustauschvereinbarung wird überdies ein gemeinsames Geheimnis festgelegt und in einem ersten Testdurchlauf ausgetauscht.
Ein SSL-Zertifikat enthält Identifizierungsinformationen zur Verschlüsselung zwischen Browser und Server und ermöglicht somit eine gesicherte Verbindung. Die Hauptaufgaben von SSL-Zertifikaten sind hierbei die Authentifizierung von Eigenschaften und Identitäten der Kommunikationspartner durch asymmetrische Verschlüsselungsverfahren, die Sicherstellung einer Ende-zu-Ende-Datenübertragung mithilfe symmetrischer Verschlüsselungsverfahren sowie die Integrität der transportierten Daten.

SSL-Zertifikate erkennen und unterscheiden

Dass eine Website durch ein SSL-Zertifikat verschlüsselt ist, wird von nahezu jedem Browser durch visuelle Hervorhebungen eindeutig angezeigt. Das an HTTP angehängte „S“ (für „Secure“) signalisiert dem Browser, dass ein Zertifikat anzufordern ist. Auch der Benutzer erkennt durch den Aufruf von HTTPS eindeutig, dass es sich um eine „abhörsichere“ Verbindung handelt.
Ob eine Website eine SSL-Verschlüsselung nutzt, sieht man zudem an einem kleinen, meistens grau oder grün eingefärbten Vorhängeschloss-Icon, das sich (abhängig vom Browser) an oder in der Adresszeile befindet. Das verwendete SSL-Zertifikat wird, klickt man darauf, angezeigt. Unter anderem ist hier die Versionsnummer sowie die Art des SSL-Zertifikats einzusehen.
Es können grob drei Arten von SSL-Zertifikaten voneinander unterschieden werden. Sie weisen unterschiedliche Anforderungen auf, die für die Ausstellung des entsprechenden Zertifikats erfüllt sein müssen.

SSL-Verschlüsselung mit SSL-Zertifikat

Das geschlossene Sicherheitsschloss steht mittlerweile sinnbildlich für die Verwendung von SSL-Zertifikaten. (Bild: pixabay.de/Tumisu)

1. Das Domain-Validated-Zertifikat (DV)

Das Domain-Validated-Zertifikat (DV) ist das am häufigsten verwendete SSL-Zertifikat. Für die Ausstellung eines DV-Zertifikats kontrolliert eine Zertifizierungsstelle, ob der Auftraggeber auch der Inhaber der Website ist. Die Domain verifiziert diesen in einem E-Mail-Verfahren. Die E-Mail wird hierbei an eine WHOIS-Adresse versendet und von dieser bestätigt.
Die Hauptvorteile von Domain-Validated-Zertifikaten sind, dass sie fast sofort ausgestellt werden und keine Unterlagen benötigen. Zudem sind sie äußerst kostengünstig bzw. sogar kostenlos. Diese Art SSL-Zertifikat eignet sich optimal für jede Form von privater Website sowie für sämtliche Blogs, Wikis und Foren.

2. Das Organisation-Validation-Zertifikat (OV)

Optisch unterscheidet sich das Organisation-Validation-Zertifikat (OV) nicht vom Domain-Validated-Zertifikat. Die Darstellung des Schloss-Icons markiert die beiden SSL-Zertifikate grafisch. Klickt man als Benutzer jedoch auf das Icon, so kann man die beiden Arten der Zertifikate unterscheiden. Nur das OV-Zertifikat zeigt das Unternehmen an, das für die Website verantwortlich ist.
Bei der Ausstellung eines Organisation-Validation-Zertifikats findet neben der Domaininhaberschaft eine Identitätsprüfung des Domaininhabers statt. Im Rahmen hiervon werden Bankdaten, Handelsregister und Telefonnummern kontrolliert. OV-Zertifikate kosten im Regelfall erheblich mehr und dauern in ihrer Ausstellung länger als DV-Zertifikate.

3. Das Extended-Validation-Zertifikat (EV)

Beim Extended-Validation-Zertifikat (EV) handelt es sich um ein SSL-Zertifikat, das die höchste Sicherheit signalisiert. Das SSL-Zertifikat durchläuft eine hochsichere Validierung, bei der die Zertifizierungsstelle die Befugnis des Antragstellers überprüft und authentifiziert.
Hochsicherheits-Browser sind in der Lage, EV-Zertifikate zu erkennen. Die sichere Authentifizierung wird durch eine angepasste Browseroberfläche dargestellt. EV-zertifizierte Seiten sind mit einem grünen Kasten in der Adressleiste ausgestattet, in dem der Name der Organisation und der Zertifizierungsstelle steht. Alternativ findet man auch eine Grünmarkierung der gesamten Adressleiste. Diese Art von SSL-Zertifikat richtet sich vor allem an Behördenseiten, große Onlineshops oder die Websites von Banken.

Vorteile von SSL-Verschlüsselungen

Alle gängigen Webbrowser warnen bereits seit längerem vor dem Aufruf von nicht mit SSL-Zertifikaten verschlüsselten Websites. Bisher wurden nicht verschlüsselte Seiten zumeist durch ein rot durchgestrichenes oder geöffnetes Vorhängeschloss dargestellt.
Vermehrt gehen Browser jetzt aber dazu über, Seiten, die nicht mit SSL-Verschlüsselungen gesichert sind, auch als „nicht sicher“ zu kennzeichnen. Vor allem aber kommt es bei immer mehr Browsern auch zu Anzeigefeldern mit Warnungen oder anderen Warnhinweisen. Auch werden mit SSL-Verschlüsselungen zertifizierte Internetseiten von Suchmaschinen immer besser bewertet, nicht zertifizierte Seiten werden hingegen vermehrt abgestraft.
Ein weiterer klarer Vorteil von SSL-Zertifikaten ist, dass durch die verwendeten Verschlüsselungsprotokolle die erhöhte Sicherheit Ihrer Website visuell dargestellt wird. Sie sichern Ihnen also das Vertrauen von Besuchern und potentiellen Kunden und lassen Sie vertrauens- und glaubwürdig erscheinen.

Die Pflicht von SSL-Verschlüsselungen

Aufgrund von stetig steigenden Bedenken zur Cyber-Sicherheit sind viele Benutzer sensibilisiert, auf Warnhinweise Ihres Browsers zu achten und eine Seite, die als „nicht sicher“ markiert ist, generell eher zu meiden.
Nicht zu Unrecht, denn jede unverschlüsselte Verbindung kann prinzipiell von Dritten abgefangen und mitgelesen werden. Daher ist es wichtig, Verbindungen zwischen Server und Client – beispielsweise mit einem SSL-Zertifikat – stets zu verschlüsseln. Verfügt ein Webserver nämlich über ein Verschlüsselungsverfahren, so ist die Datenübertragung sicher. Vor allem bei der Eingabe von sensiblen Daten wie Passwörtern oder Bankverbindungen ist darauf zu achten, dass es sich um eine verschlüsselte, also sichere Verbindung handelt.

Notwendigkeit des SSL-Zertifikats nach der DSGVO

Spätestens seit der DSGVO sollten die Websites von Unternehmen mit einem SSL-Zertifikat verschlüsselt sein. (Bild: pixabay.de/TheDigitalArtist)

Die gesetzliche Pflicht von SSL-Verschlüsselungen

Bereits seit Inkrafttreten von § 13 Abs. 7 des Telemediengesetzes (TMG) Anfang 2016 sind Webseitenbetreiber dazu verpflichtet, durch Verschlüsselungsverfahren personenbezogene Daten vor Zugriffen von Dritten zu schützen. Aufgrund strittiger Definition sind jedoch viele Betreiber diesem Gesetz nicht gefolgt.
Seit dem 25. Mai 2018, dem Inkrafttreten der DSGVO, müssen jetzt aber EU-weit alle personenbezogenen Daten ausnahmslos so verarbeitet werden, dass ihre angemessene Sicherheit gewährleistet ist. Mit Art. 32 Abs. 1 lit. DSGVO wird hierbei die Annahme zur Integrität und Vertraulichkeit gemäß Art. 5 Abs. 1 lit. DSGVO konkretisiert und die Verschlüsselung als adäquate technische Maßnahme für die Sicherheit von Daten benannt. Verschlüsselungszertifikate wie SSL-Zertifikate sind somit seit diesem Stichtag für alle Internetseiten Pflicht, die persönliche Daten erheben.
Zu einer Erhebung von personenbezogenen Daten kommt es nach § 13 Abs. 7 lit. TMG bereits durch Formulare jeder Art (wie bspw. Kontakt-, Bestell-, oder Loginformulare ).

IP-Adressen als personenbezogene Daten?

Ob es sich sogar bei IP-Adressen um personenbezogene Daten handelt, ist zu dieser Zeit (Stand September 2018) noch unklar, da es seit der DSGVO bisher noch kein Urteil gab. In einem Urteil vom 24.11.2011 (C-70/10) hat der EuGH jedoch bereits festgelegt, dass es sich bei dynamischen IP-Adressen für Webhoster um personenbezogene Daten handelt.
Sollten dynamische IP-Adressen auch nach der DSGVO als personenbezogene Daten verstanden werden, sind alle Websites ausnahmslos zu verschlüsseln. Es sollte jedoch nicht erst auf ein Urteil gewartet werden. Alle Internetseiten mit SSL-Zertifikaten zu verschlüsseln, dürfte Ihnen eine ganze Reihe an Vorteilen bringen.

security

DSGVO-konform? Na klar!

Sie benötigen Unterstützung bei der Umsetzung der DSGVO? Die Dienstleister des IT-SERVICE.NETWORK sind für Sie da!

Zur IT-Sicherheit

Als unsicher markierte SSL-Zertifikate

Potentiell kann sich jeder Webmaster SSL-Verschlüsselungen selbst ausstellen und signieren. Das sogenannte selbstsignierte SSL-Zertifikat funktioniert jedoch oftmals nicht und wird von Browsern beispielsweise durch eine rote Einfärbung des Schriftzugs HTTPS als unsicher markiert. Hiervon ist dringlich abzuraten.
Doch auch nicht selbstsignierte SSL-Zertifikate werden von Browsern abgestraft. SSL-Zertifikate von Symantec werden so seit dem Chrome-Update auf Version 66 und seit dem Firefox-Update auf Version 60 und 63 als unsicher markiert. Google begründet diese Entscheidung damit, dass das Vertrauensverhältnis zu Symantec irreperabel gestört sei.

Die Gefahr bei kostenlosen SSL-Zertifikaten

Bekanntester Anbieter von kostenfreien, domainvalidierten SSL-Zertifikaten ist die seit Ende 2015 bestehende Zertifizierungsstelle Let’s Encrypt, mit der die Erstellung, Validierung und Verlängerung von SSL-Zertifikaten automatisiert erfolgt. Das Konzept von Let’s Encrypt, SSL-Verschlüsselungen für jeden zur Verfügung zu stellen, ist aufgegangen.
Jedoch verbirgt sich hinter kostenlosen SSL-Zertifikaten auch eine ganze Bandbreite an Gefahren. So nutzen immer mehr Phisher diese Art von Zertifikaten für ihre gefälschten Websites, um seriös zu erscheinen. Ein im März 2017 veröffentlichter Report zeigt, dass in zwei Monaten circa 14.000 Zertifikate ausgestellt wurden, in deren Domainname der Begriff „paypal“ verwendet wurde. Oftmals, so die Untersuchung, handelt es sich um Phishing-Websites, die Kopien von der offiziellen PayPal-Website darstellen.
Ein Blick ins Internet zeigt, dass SSL-Zertifikate bei Usern daher schnell für Verwirrung sorgen. Denn weder HTTPS noch das Schloss-Icon zeigt an, dass die aufgesuchte Website sicher ist. Lediglich die Verbindungen zwischen dem zugehörigen Webserver, der ein Verschlüsselungsverfahren wie die SSL-Verschlüsselung verwendet, und Ihrem Webbrowser ist sicher.

Die Beschaffung eines SSL-Zertifikats

Browser schenken besonders bekannten Zertifizierungsstellen ihr Vertrauen. Der Preis eines SSL-Zertifikats hängt nicht nur von seiner Art (DV, OV, EV), sondern auch der Reputation der Zertifizierungsstelle ab. Die Gültigkeitsdauer beeinflusst ebenfalls den Preis; die gängige Laufzeit eines individuellen, kostenpflichtigen Zertifikats beträgt 12 Monate.
Kaufen Sie daher persönlich ausgestellte Zertifikate bei einer entsprechenden Zertifizierungsstelle oder geben Sie diese wichtige Aufgabe an einen regionalen und kompetenten IT-Dienstleister ab, der sich mit Verschlüsselungsverfahren bestens auskennt und für Sie ein optimales SSL-Zertifikat besorgt. Kombinieren Sie diesen Service mit dem Webhosting Management und lassen Sie sich in allen Belangen um Ihre Website kompetent unterstützen.

Geschrieben von

Robin Laufenburg unterstützt bereits seit 2018 den Blog des IT-SERVICE.NETWORK. Während er anfangs noch als Werkstudent Artikel schrieb, blieb er dem Blog auch nach seinem Masterabschluss in Germanistik erhalten. Mit privatem Interesse an der IT versteht er es, sich in komplexe Themen einzuarbeiten und sie in verständlicher Sprache darzustellen. Weiterlesen

Fragen zum Artikel? Frag den Autor
0 Kommentare

Schreiben Sie einen Kommentar

Ihre E-Mail Adresse wird nicht veröffentlicht.


* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

Aktuelle Themen zum Thema IT-Sicherheit

IT-Sicherheit

AnyDesk-Hack

Anbieter von Fernwartungssoftware ist Ziel von Cyberattacke

von • 14.02.2024

Neuer Tag, neuer Sicherheitsvorfall: Jetzt hat es AnyDesk, den Anbieter der gleichnamigen Software getroffen. Das BSI empfiehlt Unternehmen, angesichts des AnyDesk-Hacks vors...

Weiterlesen
IT-Sicherheit

Datenleck bei Trello

15 Millionen Datensätze bei Hackerangriff auf Betreiber Atlassian erbeutet

von • 12.02.2024

Cyberkriminelle konnten durch ein Datenleck bei Trello offenbar Daten von mehr als 15 Millionen Daten abgreifen. In einem Hackerforum im Darknet stehen diese Daten zum Verkauf. Wir berichten, was e...

Weiterlesen
IT-Sicherheit

Have I Been Pwned

Webseite gibt Auskunft über durch Datenlecks geleakte Konto

von • 07.02.2024

Nachrichten über Datenlecks machen immer wieder die Runde. Häufig ist Nutzern dabei gar nicht bewusst, dass auch ihre Daten geleakt worden sein könnten. Die Webseite Have I Been Pwned gibt Gewisshe...

Weiterlesen