Vielen Usern ist mit großer Wahrscheinlichkeit aufgefallen, dass sie eine Vielzahl von Webseiten in der Adresszeile des Browsers nun nicht mehr mit dem Kürzel „http“, sondern stattdessen mit „https“ aufrufen müssen. Den meisten davon ist das wohl egal, denn die Eingabe eines einzelnen Buchstabens stellt schließlich keinen großen Mehraufwand für sie dar.
Für die Webseite ist das jedoch von sehr großer Bedeutung, denn dahinter steckt ein sogenanntes SSL-Zertifikat, dass die Sicherheit deutlich erhöht. Darüber hinaus hat Google im Jahr 2014 das https-Protokoll sogar zum Ranking-Faktor erhoben. Wer im Internet heutzutage also noch gefunden werden will, kann es sich gar nicht mehr leisten, darauf zu verzichten. Doch was genau ist eigentlich ein SSL-Zertifikat und wie lässt es sich in die eigene Webseite einbinden? Die Antworten darauf liefert dieser Artikel.
SSL steht als Abkürzung für Secure Sockets Layer. In einfachen Worten erklärt sorgt das SSL-Zertifikat dafür, dass die Verbindung zu einer Webseite im Browser verschlüsselt wird und es Dritten damit unmöglich macht, den Datenverkehr abzuhören.
Für die User sichtbar wird das durch das Kürzel „https“ in der Adresszeile ihres Browsers. Zusätzlich verfügen die meisten Browser auch noch über ein zusätzliches Symbol, dass die sichere Verbindung kennzeichnet. Bei Google Chrome wird das beispielsweise durch ein Schloss-Symbol in der Adresszeile dargestellt. Mit einem Klick auf dieses Symbol lassen sich nähere Informationen über das jeweilige Zertifikat in Erfahrung bringen.
Wer sich beispielsweise nur darüber informieren möchte, wie das Wetter morgen in Bayern wird, weil er einen Ausflug zum Elbsee plant, dem wird es aller Wahrscheinlichkeit nach egal sein, wie sicher die Verbindung zu diesem Webserver ist. Müssen jedoch für die Buchung eines Hotelzimmers beim See die eigenen Bankdaten angegeben werden, verhält sich die Sachlage schon anders. Denn hier ist es wichtig, dass diese sensiblen Daten vertraulich behandelt werden. Deshalb kommt hier „eigentlich“ SSL zum Einsatz.
Warum eigentlich? Weil SSL mittlerweile veraltet ist und durch den moderneren Standard TLS (Transport Layer Security) ersetzt wurde. In der Praxis wird im Zusammenhang mit verschlüsselten Domains aber weiterhin von SSL-Zertifikaten gesprochen. So weit, so gut. Doch wie funktioniert das System genau?
Wird eine Adresse im Internet über das Kürzel „https“ aufgerufen, dann bedeutet das in der Praxis, dass die Datenverbindung zwischen dem Webserver, auf dem die Inhalte der Webseite gespeichert sind und dem Browser verschlüsselt erfolgt.
Dazu wird zunächst überprüft, ob der Server und die Domain der URL zusammengehören. Dazu wird das entsprechende SSL-Zertifikat aufgerufen. Dieses bestätigt die Verbindung des Webservers mit der Domain.
Die SSL-Zertifikate werden nur von bestimmten Einrichtungen ausgegeben. Diese werden als CA (Certificate Authority bzw. Certification Authority) bezeichnet. Dabei handelt es sich um eine vertrauenswürdige Instanz. Anhand der von der CA ausgestellten Zertifikate kann die Identität im Internet überprüft werden. Die SSL-Zertifikate sind bei den CAs gespeichert und können von jedem User öffentlich eingesehen werden.
Doch wie weiß der Browser, ob er dem SSL-Zertifikat vertrauen kann? Ganz einfach, denn in den gängigen Browsern ist eine Liste mit den vertrauenswürdigen Certification Authorities hinterlegt. Das ist unter anderem auch einer der vielen Gründe, warum es erforderlich ist, seinen Browser regelmäßig upzudaten. Ist in einem SSL-Zertifikat die Signatur von einem der hinterlegten CAs enthalten, gilt die Verbindung als vertrauenswürdig.
Zunächst werden die Daten bei der Übertragung mit einem öffentlichen Schlüssel gesichert. Entschlüsselt können sie nur von dem auf dem Webserver hinterlegten privaten Schlüssel werden. Somit ist es Außenstehenden nicht möglich, der Verbindung zu folgen.
Das System ist in etwa vergleichbar mit der Geheimsprache, die oftmals von Schülern zur verschlüsselten Kommunikation entwickelt wird. Sie weisen dabei jedem Buchstaben im Alphabet eine bestimmte Zahl zu. So erhält „A“ beispielsweise den Code „14“, „B“ den Code „83“ usw. Nur wer im Besitz dieser Zahlenliste ist, kann die Kommunikation auch entsprechend entschlüsseln. In der Praxis sind die heutigen Verschlüsselungssysteme selbstverständlich wesentlich komplexer und damit auch sicherer.
Die Certificate Authority Security Council (CASC) ist eine Organisation zur Erhöhung der Datensicherheit im Internet. Sie hat verschiedene Anbieter für den Vertrieb von SSL-Zertifikaten autorisiert. Zu den bekanntesten Unternehmen gehören unter anderem:
Ein weitverbreiteter Mythos ist, dass alle SSL-Zertifikate gleich sind. Doch tatsächlich stellen die CAs verschiedene Arten von SSL-Zertifikaten für unterschiedliche Zwecke aus. Grundsätzlich wird dabei zwischen drei unterschiedlichen SSL-Zertifikatsstufen unterschieden:
Domain Validated (DV) – niedrigste Verschlüsselungsstufe: Diese Zertifikate sind in der Regel kostengünstig und erfordern lediglich den Nachweis, dass ein Unternehmen oder eine Person die Kontrolle über eine bestimmte Webseite hat. Sie sollten nur verwendet werden, wenn auf der Webseite keine Zahlungstransaktionen oder andere heikle Datenverarbeitungsprozesse durchgeführt werden. Zu den klassischen Anwendern zählen beispielsweise Blogger und Betreiber von persönlichen Webseiten.
Wer ein SSL-Zertifikat benötigt, muss dafür nicht zwingend Geld ausgeben. Denn es gibt auch ein paar Anbieter, die das Zertifikat kostenlos zur Verfügung stellen:
Bei den kostenlosen Zertifikaten muss allerdings bedacht werden, dass es sich dabei in der Regel um DV-Zertifikate, also SSL-Zertifikate mit der niedrigsten Verschlüsselungsstufe handelt. Für größere kommerzielle Vorhaben sind sie deshalb nur bedingt geeignet.
Die Einbindung eines SSL-Zertifikats erfolgt in den meisten Fällen in nur wenigen Schritten. Der erste Schritt besteht in der Überlegung, welche Verschlüsselungsstufe das SSL-Zertifikat aufweisen soll. Danach kann es bei einem entsprechenden Anbieter erworben werden.
Die meisten Aussteller liefern daraufhin nicht nur das SSL-Zertifikat, sondern darüber hinaus auch eine ausführliche Anleitung, wie es sich in die eigene Webseite einbinden lässt. In der Regel sind dafür aber lediglich die folgenden Schritte erforderlich:
Die https-Domain sollte auch bei sozialen Netzwerkprofilen wie etwa LinkedIn oder Facebook hinterlegt werden.
Die kurze und einfache Antwort, ob Webmaster heutzutage ein SSL-Zertifikat benötigen, lautet: Ja!
Wer heutzutage mit einer Webseite im Internet erfolgreich sein möchte, kommt nicht umhin, sich dafür auch ein geeignetes SSL-Zertifikat zu besorgen. Für kleinere Projekte reicht im Normalfall ein DV-Zertifikat mit niedriger Sicherheitsstufe aus. Diese sind zum Teil sogar kostenlos erhältlich.
Handelt es sich um ein größeres kommerzielles Projekt, ist mindestens ein OV-Zertifikat erforderlich. Sobald ein Webshop an die Webseite angebunden ist, sollte auf alle Fälle ein EV-Zertifikat eingebunden werden.
Das ist nicht nur deshalb erforderlich, weil es tatsächlich hohe Sicherheits-Standards im Umgang mit vertraulichen Kundendaten garantiert, sondern vor allem auch noch aus zwei weiteren Gründen unerlässlich. Denn zum einen wandern Kunden heutzutage sofort wieder ab, wenn sie bemerken, dass es sich dabei um eine veraltete und unsichere „http“-Seite handelt und zum anderen wird sie aller Wahrscheinlichkeit nach auch von den Suchmaschinen nicht mehr gefunden werden.
Denn Google hat sich zum Ziel gesetzt, seinen Kunden das jeweils bestmögliche Suchergebnis bei einer Anfrage zu bieten. Und eine Webseite, bei der die Kundendaten nicht sicher aufgehoben sind, gehört da unter Garantie nicht dazu.
SSL-Zertifikat
Author:Jakob Friesen
Datum:01.04.2022
Klicken Sie auf eine der Kontaktmöglichkeiten - wir freuen uns über Ihren Kontakt!
+49 7361 6339049Nach der Bestellung, können Sie Ihre kopierten Forenlinks bearbeiten.