SSL-Zertifikat

Vielen Usern ist mit großer Wahrscheinlichkeit aufgefallen, dass sie eine Vielzahl von Webseiten in der Adresszeile des Browsers nun nicht mehr mit dem Kürzel „http“, sondern stattdessen mit „https“ aufrufen müssen. Den meisten davon ist das wohl egal, denn die Eingabe eines einzelnen Buchstabens stellt schließlich keinen großen Mehraufwand für sie dar.

Für die Webseite ist das jedoch von sehr großer Bedeutung, denn dahinter steckt ein sogenanntes SSL-Zertifikat, dass die Sicherheit deutlich erhöht. Darüber hinaus hat Google im Jahr 2014 das https-Protokoll sogar zum Ranking-Faktor erhoben. Wer im Internet heutzutage also noch gefunden werden will, kann es sich gar nicht mehr leisten, darauf zu verzichten. Doch was genau ist eigentlich ein SSL-Zertifikat und wie lässt es sich in die eigene Webseite einbinden? Die Antworten darauf liefert dieser Artikel.

Was ist ein SSL-Zertifikat?

SSL steht als Abkürzung für Secure Sockets Layer. In einfachen Worten erklärt sorgt das SSL-Zertifikat dafür, dass die Verbindung zu einer Webseite im Browser verschlüsselt wird und es Dritten damit unmöglich macht, den Datenverkehr abzuhören.

Für die User sichtbar wird das durch das Kürzel „https“ in der Adresszeile ihres Browsers. Zusätzlich verfügen die meisten Browser auch noch über ein zusätzliches Symbol, dass die sichere Verbindung kennzeichnet. Bei Google Chrome wird das beispielsweise durch ein Schloss-Symbol in der Adresszeile dargestellt. Mit einem Klick auf dieses Symbol lassen sich nähere Informationen über das jeweilige Zertifikat in Erfahrung bringen.

Wer sich beispielsweise nur darüber informieren möchte, wie das Wetter morgen in Bayern wird, weil er einen Ausflug zum Elbsee plant, dem wird es aller Wahrscheinlichkeit nach egal sein, wie sicher die Verbindung zu diesem Webserver ist. Müssen jedoch für die Buchung eines Hotelzimmers beim See die eigenen Bankdaten angegeben werden, verhält sich die Sachlage schon anders. Denn hier ist es wichtig, dass diese sensiblen Daten vertraulich behandelt werden. Deshalb kommt hier „eigentlich“ SSL zum Einsatz.

Warum eigentlich? Weil SSL mittlerweile veraltet ist und durch den moderneren Standard TLS (Transport Layer Security) ersetzt wurde. In der Praxis wird im Zusammenhang mit verschlüsselten Domains aber weiterhin von SSL-Zertifikaten gesprochen. So weit, so gut. Doch wie funktioniert das System genau?

Wie funktioniert SSL?

Wird eine Adresse im Internet über das Kürzel „https“ aufgerufen, dann bedeutet das in der Praxis, dass die Datenverbindung zwischen dem Webserver, auf dem die Inhalte der Webseite gespeichert sind und dem Browser verschlüsselt erfolgt.

Dazu wird zunächst überprüft, ob der Server und die Domain der URL zusammengehören. Dazu wird das entsprechende SSL-Zertifikat aufgerufen. Dieses bestätigt die Verbindung des Webservers mit der Domain.

Die SSL-Zertifikate werden nur von bestimmten Einrichtungen ausgegeben. Diese werden als CA (Certificate Authority bzw. Certification Authority) bezeichnet. Dabei handelt es sich um eine vertrauenswürdige Instanz. Anhand der von der CA ausgestellten Zertifikate kann die Identität im Internet überprüft werden. Die SSL-Zertifikate sind bei den CAs gespeichert und können von jedem User öffentlich eingesehen werden.

Doch wie weiß der Browser, ob er dem SSL-Zertifikat vertrauen kann? Ganz einfach, denn in den gängigen Browsern ist eine Liste mit den vertrauenswürdigen Certification Authorities hinterlegt. Das ist unter anderem auch einer der vielen Gründe, warum es erforderlich ist, seinen Browser regelmäßig upzudaten. Ist in einem SSL-Zertifikat die Signatur von einem der hinterlegten CAs enthalten, gilt die Verbindung als vertrauenswürdig.

Zunächst werden die Daten bei der Übertragung mit einem öffentlichen Schlüssel gesichert. Entschlüsselt können sie nur von dem auf dem Webserver hinterlegten privaten Schlüssel werden. Somit ist es Außenstehenden nicht möglich, der Verbindung zu folgen.

Das System ist in etwa vergleichbar mit der Geheimsprache, die oftmals von Schülern zur verschlüsselten Kommunikation entwickelt wird. Sie weisen dabei jedem Buchstaben im Alphabet eine bestimmte Zahl zu. So erhält „A“ beispielsweise den Code „14“, „B“ den Code „83“ usw. Nur wer im Besitz dieser Zahlenliste ist, kann die Kommunikation auch entsprechend entschlüsseln. In der Praxis sind die heutigen Verschlüsselungssysteme selbstverständlich wesentlich komplexer und damit auch sicherer.

Welche Arten von SSL-Zertifikaten gibt es?

Die Certificate Authority Security Council (CASC) ist eine Organisation zur Erhöhung der Datensicherheit im Internet. Sie hat verschiedene Anbieter für den Vertrieb von SSL-Zertifikaten autorisiert. Zu den bekanntesten Unternehmen gehören unter anderem:

Sectigo (ehemals Commodo) wurde 1988 in Großbritannien gegründet und hat heute seinen Sitz in den USA. Es gilt als Marktführer bei der Ausstellung von SSL-Zertifikaten.
DigiCert ist seit 2010 am Markt und ist bekannt für seine hohen Qualitätsstandards.
GeoTrust existiert bereits seit dem Jahr 2001 und hat über 100.000 Kunden in 150 unterschiedlichen Ländern.
RapidSSL wurde 2010 gegründet und konnte sich in den letzten Jahren ebenfalls als vertrauenswürdige Institution etablieren.
Einer der ältesten Anbieter ist Thawte aus Südafrika. Das Unternehmen wurde im Jahr 1995 gegründet und ist heute in den Symantec-Konzern Nahezu eine Million Websites aus über 240 Ländern arbeiten mit einem SSL-Zertifikat dieses Anbieters.

Ein weitverbreiteter Mythos ist, dass alle SSL-Zertifikate gleich sind. Doch tatsächlich stellen die CAs verschiedene Arten von SSL-Zertifikaten für unterschiedliche Zwecke aus. Grundsätzlich wird dabei zwischen drei unterschiedlichen SSL-Zertifikatsstufen unterschieden:

Extended Validation (EV) – höchste Verschlüsselungsstufe: Bei dieser Art von SSL-Zertifikaten werden von den CAs eine Vielzahl von Informationen abgefragt. Die Kriterien zum Erhalt sind im Vergleich zu den anderen Stufen am strengsten. Zertifiziert wird dabei nicht nur eine einzelne Webseite, sondern gleich das ganze Unternehmen. Nicht jeder benötigt diese Art von SSL-Zertifikat. In der Regel werden sie von Webseiten verwendet, die einen hohen Bekanntheitsgrad haben und deshalb Zielscheibe von Phishing-Attacken Dazu gehören vor allem große Einzelhändler sowie Banken und Finanzinstitute.
Organisation Validated (OV) – mittlere Verschlüsselungsstufe: Bei einem EV-Zertifikat wird der Name des Unternehmens direkt im Browser angezeigt. Das ist bei einem OV-Zertifikat nicht der Fall. Die Nutzer sehen hier lediglich anhand des Schloss-Symbols, dass es sich dabei um eine geschützte Verbindung handelt. Für das Ausstellen des OV-Zertifikats wird im Validierungsprozess ein Abgleich mit einem staatlichen Unternehmensregister und einem Onlineverzeichnis durchgeführt.

Domain Validated (DV) – niedrigste Verschlüsselungsstufe: Diese Zertifikate sind in der Regel kostengünstig und erfordern lediglich den Nachweis, dass ein Unternehmen oder eine Person die Kontrolle über eine bestimmte Webseite hat. Sie sollten nur verwendet werden, wenn auf der Webseite keine Zahlungstransaktionen oder andere heikle Datenverarbeitungsprozesse durchgeführt werden. Zu den klassischen Anwendern zählen beispielsweise Blogger und Betreiber von persönlichen Webseiten.

Welche kostenlosen Alternativen gibt es am Markt?

Wer ein SSL-Zertifikat benötigt, muss dafür nicht zwingend Geld ausgeben. Denn es gibt auch ein paar Anbieter, die das Zertifikat kostenlos zur Verfügung stellen:

ZeroSSL: Bei diesem Anbieter ist das Zertifikat für einen Zeitraum von insgesamt 90 Tagen kostenlos und kann immer wieder erneuert werden. Mit dem ZeroSSL Certbot kann sogar der Erneuerungsprozess automatisiert werden. Insgesamt können bis zu drei kostenlose SSL-Zertifikate beantragt werden.
Let´s Encrypt: Dieser Anbieter hat bereits mehr als eine Milliarde Zertifikate ausgestellt. Der große Vorteil dabei: Alles funktioniert automatisch ohne menschliches Eingreifen.
SSL for Free: Wie der Name bereits vermuten lässt, gibt es auch hier kostenlose SSL-Zertifikate. Der Dienst funktioniert allerdings auch auf Basis des Let´s Encrypt Servers.
SSL ist nur für kurzfristige Projekte gedacht, denn hier ist das kostenlose Zertifikat auf einen Zeitraum von 90 Tagen befristet und kann danach auch nicht verlängert werden.
Cloudflare ist ebenfalls kostenlos und unterstützt viele beliebte Webseiten wie beispielsweise Yelp und Reddit.
Qualitäts-SSL bietet seinen Kunden zumindest eine 30tägige kostenlose Testversion an.

Bei den kostenlosen Zertifikaten muss allerdings bedacht werden, dass es sich dabei in der Regel um DV-Zertifikate, also SSL-Zertifikate mit der niedrigsten Verschlüsselungsstufe handelt. Für größere kommerzielle Vorhaben sind sie deshalb nur bedingt geeignet.

Wie kann ein SSL-Zertifikat in die eigene Webseite eingebunden werden?

Die Einbindung eines SSL-Zertifikats erfolgt in den meisten Fällen in nur wenigen Schritten. Der erste Schritt besteht in der Überlegung, welche Verschlüsselungsstufe das SSL-Zertifikat aufweisen soll. Danach kann es bei einem entsprechenden Anbieter erworben werden.

Die meisten Aussteller liefern daraufhin nicht nur das SSL-Zertifikat, sondern darüber hinaus auch eine ausführliche Anleitung, wie es sich in die eigene Webseite einbinden lässt. In der Regel sind dafür aber lediglich die folgenden Schritte erforderlich:

Zunächst muss das SSL-Zertifikat auf dem eigenen Server installiert Wie das Zertifikat dabei genau implementiert wird, ist vom jeweiligen Server abhängig. Bei Digicert gibt es für jede Plattform eine ausführliche Anleitung.
Im nächsten Schritt muss ausgewählt werden, welche Webseiten, Domains und Subdomains mit dem Zertifikat geschützt werden sollen.
Abschließend sollte noch geprüft werden, ob das SSL-Zertifikat korrekt implementiert Eine Möglichkeit dafür ist es, manuelle Stichproben durchzuführen. Mit Tools wie dem kostenlosen SSL Checker kann diese Prüfung allerdings auch einfach automatisch durchgeführt werden.
Um zu verhindern, dass Google weiterhin beide Versionen der Webseite indexiert, sollte im Anschluss an die Installation eine 301er-Weiterleitung von der http-Version auf die https-Version der Webseite eingerichtet werden.
Die internen Links auf der Webseite müssen ebenfalls entsprechend angepasst werden.

Die https-Domain sollte auch bei sozialen Netzwerkprofilen wie etwa LinkedIn oder Facebook hinterlegt werden.

Fazit: Ohne SSL-Zertifikat geht heute gar nichts mehr

Die kurze und einfache Antwort, ob Webmaster heutzutage ein SSL-Zertifikat benötigen, lautet: Ja!

Wer heutzutage mit einer Webseite im Internet erfolgreich sein möchte, kommt nicht umhin, sich dafür auch ein geeignetes SSL-Zertifikat zu besorgen. Für kleinere Projekte reicht im Normalfall ein DV-Zertifikat mit niedriger Sicherheitsstufe aus. Diese sind zum Teil sogar kostenlos erhältlich.

Handelt es sich um ein größeres kommerzielles Projekt, ist mindestens ein OV-Zertifikat erforderlich. Sobald ein Webshop an die Webseite angebunden ist, sollte auf alle Fälle ein EV-Zertifikat eingebunden werden.

Das ist nicht nur deshalb erforderlich, weil es tatsächlich hohe Sicherheits-Standards im Umgang mit vertraulichen Kundendaten garantiert, sondern vor allem auch noch aus zwei weiteren Gründen unerlässlich. Denn zum einen wandern Kunden heutzutage sofort wieder ab, wenn sie bemerken, dass es sich dabei um eine veraltete und unsichere „http“-Seite handelt und zum anderen wird sie aller Wahrscheinlichkeit nach auch von den Suchmaschinen nicht mehr gefunden werden.

Denn Google hat sich zum Ziel gesetzt, seinen Kunden das jeweils bestmögliche Suchergebnis bei einer Anfrage zu bieten. Und eine Webseite, bei der die Kundendaten nicht sicher aufgehoben sind, gehört da unter Garantie nicht dazu.

Einzelnachweise

https://www.heise.de/tipps-tricks/SSL-Zertifikat-Was-ist-das-4862296.html

https://www.sistrix.de/frag-sistrix/google-updates/https-ranking-faktor-update

https://de.ryte.com/magazine/ssl-zertifikat-einrichten-schritt-fuer-schritt-zur-verschluesselten-website

https://www.searchmetrics.com/de/glossar/ssl-verschluesselung/

https://ssl.de/ssl-zertifikate-anbieter.html

https://www.globalsign.com/de-de/ssl-information-center/mythen-ueber-cas

https://www.it-daily.net/it-sicherheit/cloud-security/24861-warum-sind-extended-validation-zertifikate-so-wichtig

https://www.leaderssl.at/articles/233-unterschied-zwischen-ov-und-ev-zertifikaten

https://www.digicert.com/de/difference-between-dv-ov-and-ev-ssl-certificates

10.

https://geekflare.com/de/free-ssl-tls-certificate/

11.

https://letsencrypt.org/de/how-it-works/

12.

https://www.sslshopper.com/ssl-checker.html

Jakob Friesen

Während seines Studiums beschäftigte sich Jakob Friesen früh mit Thematiken des Online Marketing im speziellem mit dem Bereich SEO und die damit eingehenden Funktionalitäten. Nach einem Kurs der Hochschule Aalen bewarb er sich daraufhin für das Praxissemester bei der Firma Webaufstieg, welche den Grundstein für seinen heutigen Drang nach der Suchmaschinenoptimierung legte. Nach dem erfolgreich abgeschlossen Praxissemester legte er den Wert auf die Erweiterung seiner Wissenstandes bei der ROCKET BACKLINKS GmbH, wo er nach seiner erfolgreichen Beendigung des B.Sc. Wirtschaftsinformatik im Unternehmen verblieb.
Mit seinen über die Jahren gesammelte Erfahrungen in verschiedenen SEO-Bereichen stärkt Jakob Friesen die ROCKET BACKLINKS GmbH in diesen Punkten und darüber hinaus ist er in der Entwicklung von unseren hauseigenen CRM und EIS zuständig.

Thema:

SSL-Zertifikat

Author:

Jakob Friesen

Datum:

01.04.2022

Inhaltsverzeichnis

Was ist ein SSL-Zertifikat?
Wie funktioniert SSL?
Welche Arten von SSL-Zertifikaten gibt es?
Welche kostenlosen Alternativen gibt es am Markt?
Wie kann ein SSL-Zertifikat in die eigene Webseite eingebunden werden?
Fazit: Ohne SSL-Zertifikat geht heute gar nichts mehr