Was ist ein SSL-Zertifikat? Eine Definition

SSL steht für Secure Sockets Layer. Dabei handelt es sich um ein Verschlüsselungsprotokoll.

Ein SSL-Zertifikat dient als verbindlicher Identitätsnachweis einer Website, ähnlich einem Personalausweis für Personen.

Darüber hinaus sind in dem Zertifikat oft Informationen enthalten, mit dem Browser und Server eine Verschlüsselung aufbauen können.

SSL-Zertifikat

Das Internet ist für viele Menschen ein wunderbarer Ort: frei verfügbare Informationen, globale Kommunikation, unbegrenzter Wissensaustausch. Doch nicht alle User im World Wide Web haben gute Absichten: Immer wieder lassen sich Kriminelle neue Methoden einfallen, wie sie anderen sensible Daten abgreifen können – beispielsweise E-Mail- oder Onlinebanking-Passwörter. Zu diesem Zweck setzen sie beispielsweise betrügerische Websites auf, die denen seriöser Unternehmen gleichen. Arglose Nutzer fallen auf diese Masche oft herein – und schon haben sie private Daten unbeabsichtigt an Kriminelle weitergegeben. Aber auch eigentlich harmlose Seiten können von Kriminellen missbraucht werden: Ist die Übertragung zwischen Ihnen und dem Server des Website-Betreibers nicht ausreichend gesichert, können Dritte den Datenstrom abgreifen.

Um die Daten der Internetnutzer vor solchen kriminellen Machenschaften zu schützen, hat man standardisierte SSL-Zertifikate etabliert. Damit versichert eine Website gegenüber dem Nutzer (oder genauer: gegenüber dem entsprechenden Browser): Ihre Daten sind bei uns sicher!

Was ist ein SSL-Zertifikat?

Inzwischen sollten Zertifikate gar nicht mehr mit dem veralteten SSL arbeiten, sondern auf das neuere und sicherere TLS (Transport Layer Security) setzen. Dennoch wird umgangssprachlich meist immer noch von SSL-Zertifikaten gesprochen, wenn es um Verschlüsselungsprotokolle geht. Das Zertifikat an sich ist ein Datensatz: In einer Datei sind zahlreiche Informationen enthalten – wie zum Beispiel der Name des Ausstellers, die Seriennummer oder auch der sogenannte Fingerabdruck für die Verschlüsselung. Zertifikate gibt es in verschiedenen Dateiformaten. Möchte der Website-Betreiber ein bestimmtes Zertifikat nutzen, muss er es auf dem Server installieren.

Um ein Zertifikat zu erhalten, müssen sich Website-Betreiber an eine Zertifizierungsstelle wenden. Diese Organisationen sind zur Ausstellung eines SSL-Zertifikats berechtigt, verlangen für ihren Dienst allerdings meist Gebühren. Doch warum kann nicht einfach jeder seine eigene Organisation gründen? Der Grund ist folgender: Die Hersteller von Browsern – wie beispielsweise Microsoft, Mozilla oder Google – müssen die Zertifikate auch akzeptieren, ansonsten hat das entsprechende Zertifikat nicht den geringsten Nutzen. Das musste auch das Softwarehaus Symantec feststellen: Nachdem Google dem Softwarehersteller das Vertrauen entzogen hat, werden dessen Zertifikate nun nicht mehr von Chrome unterstützt. Nutzer des Google-Browsers erhalten infolgedessen kein Verschlüsslungssymbol mehr, das auf eine sichere Datenübertragung hinweist, wenn sie auf einer Website surfen, die ein Symantec-Zertifikat verwendet.

Ein von den Browsern akzeptiertes Zertifikat ist aber keineswegs für immer gültig. Jedes SSL-Zertifikat ist vielmehr mit einem Ablaufdatum versehen. Wenn das erreicht ist, muss der Website-Betreiber das Zertifikat erneuern lassen, ansonsten werden die entsprechenden Seiten nicht mehr als besonders sicher ausgewiesen. Auch wenn die regelmäßige Erneuerung der Zertifikate für Betreiber von Websites sowohl zeitraubend als auch kostspielig sein kann, ist es dennoch notwendig. Denn nur wenn Authentifizierungsstellen regelmäßig die Integrität, Identität und die verwendeten Verschlüsselungsmechanismen überprüfen, lässt sich die Sicherheit der Nutzer gewährleisten.

Es gibt mehrere Möglichkeiten, wie man Datentransfers verschlüsseln kann. Klassischerweise benötigt man einen Schlüssel, um etwas zu verschlüsseln, und den exakt gleichen Schlüssel, um die Nachricht wieder lesbar zu machen. Diese Methode ist im Internet aber nicht sinnvoll, denn Nutzer nehmen dort häufig Kontakt zu Personen oder Organisationen auf, mit denen sie außerhalb des Internet niemals zuvor kommuniziert haben. Es gibt folglich keine Möglichkeit, einen Schlüssel zu übergeben, ohne diesen zunächst unverschlüsselt über das öffentlich zugängliche Medium zu senden. Daher nutzen SSL-Zertifikate ein anderes Verfahren.

Bei einer Public-Key-Infrastruktur erstellt man nicht nur einen Schlüssel, sondern stattdessen zwei: einen komplett öffentlichen und einen privaten. Eine Nachricht verschlüsselt man mit dem öffentlichen Schlüssel – dem Public Key – und kann diese nur mit dem Private Key wieder dechiffrieren. Der öffentliche Schlüssel ist es dann, den der Browser über das Zertifikat erhält und zum Verschlüsseln verwendet. Zur Codierung der Informationen gibt es unterschiedliche Verfahren. Auch diesbezüglich liefert der Webserver dem Browser über das Zertifikat die notwendigen Infos.

Eine derzeit häufig verwendete Methode zur Codierung ist zum Beispiel AES (Advanced Encryption Standard). Da sowohl Kriminelle als auch Krypto-Experten allerdings stetig damit beschäftigt sind, die Schwachstellen von Verschlüsselungsmechanismen aufzuspüren, ändern sich die Standards regelmäßig. Eine Methode, die letztes Jahr noch als unfehlbar galt, kann schon morgen geknackt werden und fortan als unsicher gelten.

Welche SSL-Zertifikate gibt es?

Es gibt mehrere Arten von SSL-Zertifikaten. Obwohl es verschiedene Aussteller mit unterschiedlichsten Verifizierungsmechanismen gibt, sind diese Faktoren nicht die ausschlaggebenden Kriterien. Vielmehr unterscheidet man SSL-Zertifikate unter anderem danach, wie gründlich die Überprüfung des Antragstellers abläuft und wie groß die Reichweite der Zertifikate ist.

Überprüfung

Man unterscheidet drei Arten von Überprüfung. Diese unterscheiden sich nicht nur hinsichtlich der Bearbeitungszeit, sondern auch hinsichtlich der damit zusammenhängenden Kosten. Während SSL-Zertifikate der Kategorie Domain Validation inzwischen kostenlos zu haben sind, können Privatpersonen und kleinere Unternehmen die Kosten für eine Extended Validation nur in den seltensten Fällen stemmen.

Reichweite

Wenn man ein SSL-Zertifikat beantragt, sollte man darauf achten, wie weit dieses reicht – also auch darauf, ob zum Beispiel Subdomains unter das Zertifikat fallen.

Ein normales Zertifikat gilt nur für eine einzelne Domain. Das bedeutet, dass www.example.com und alle Unterseiten dieser Website von dem SSL-Zertifikat abgedeckt werden, allerdings keine Subdomains. Sollen diese ebenfalls abgedeckt werden, müssen Sie entweder ein weiteres Zertifikat beantragen oder ein Wildcard-Zertifikat erstehen.

Woran erkennt man ein SSL-Zertifikat?

Wenn Sie einen aktuellen Browser verwenden, können Sie ganz leicht feststellen, ob Sie sich auf einer mit SSL/TLS gesicherten Website bewegen: Werfen Sie einen Blick auf die Adresszeile! Dort weisen zwei Dinge direkt auf eine Verschlüsslung hin: Zum einen ein Schloss-Symbol und zum anderen beginnt die Adresse mit https:// statt dem eigentlich üblichen http://. Das zusätzliche S steht dabei für Secure und signalisiert den Nutzern, dass dem Hypertext Transfer Protocol eine zusätzliche SSL/TLS-Ebene hinzugefügt wurde. Im TCP/IP-Protokollstapel ist also eine zusätzliche Verschlüsselungsschicht eingefügt worden – zwischen TCP und HTTP.

Das (meist grüne) Schloss ist in erster Linie ein offensichtliches Signal Ihres Browsers, das darauf hinweist, dass die besuchte Website ein gültiges Zertifikat besitzt. Zusätzlich handelt es sich – was viele Nutzer gar nicht wissen – um einen Button, der Sie zu weiteren Informationen über die Sicherheitder Website führt. Nach einem Klick darauf öffnet sich ein Pop-up-Fenster mit Infos zum Aussteller des Zertifikats, zur verwendeten Verschlüsselung und zur Gültigkeitsdauer.

Darstellung unterschiedlicher SSL-Zertifikate in Chrome und Firefox

Browser geben Ihnen schon in der Adresszeile Hinweise darauf, ob die Website ein gültiges SSL-Zertifikat besitzt

Hat die Internetseite, auf der Sie sich befinden, kein gültiges SSL-Zertifikat, sehen Sie weder ein grünes Schloss noch das https:// in der Adresszeile. Zusätzlich warnen manche Browser, wenn Nutzer auf solchen Websites versuchen, Passwörter oder andere sensible Daten an den Server zu übermitteln. Das Programm weist sie dann darauf hin, dass die Daten von Unbekannten abgefangen werden könnten.

Die Warnung erscheint nur dann, wenn Sie persönliche Daten auf einer Seite übermitteln können. Google wird allerdings voraussichtlich ab Juli 2018 im Chrome-Browser alle derartigen HTTP-Websites als unsicher markieren.

Quelle: IONOS.de  &  blog.chromium.org

 

Was muss ich als Websitebetreiber beachten?

  • Das SSL-Zertifikat bei Ihrem Hoster bestellen und installieren
  • Alle internen Pfade der Webseite (Unterseiten, Bilder, eventuelle PDF Downloads etc.) müssen auf https//: umgestellt werden.

Ohne diese Umstellung wird die Webseite u.U. trotz SSL nicht als sicher angezeigt. Sollten Sie technisch nicht so versiert sein, stehen Ihnen unsere Webdesigner und Programmierer gerne zur Verfügung! Kontakt