Was ist ein SSL-Zertifikat?
Ein SSL-Zertifikat ist ein digitales Zertifikat, das die Identität einer Webseite authentifiziert und eine verschlüsselte Verbindung ermöglicht. SSL steht für Secure Sockets Layer, ein Sicherheitsprotokoll, das eine verschlüsselte Verbindung zwischen einem Webserver und einem Webbrowser erzeugt.
Unternehmen und Organisationen müssen ihren Webseiten SSL-Zertifikate hinzufügen, um Online-Transaktionen zu sichern und die Kundeninformationen privat und sicher zu halten.
Überblick: SSL sorgt für eine sichere Internetverbindung und verhindert, dass Kriminelle über zwei Systeme übertragene Informationen lesen und ändern. Wenn Sie ein Vorhängeschloss neben der Internetadresse in der Adresszeile sehen, bedeutet das, dass die von Ihnen besuchte Webseite sicher ist.
Seit der Einführung vor rund 25 Jahren hat es verschiedene Versionen des SSL-Protokolls gegeben, die alle an einem bestimmten Punkt an sicherheitsbezogene Probleme stießen. Es folgte eine überarbeitete und umbenannte Version namens TLS (Transport Layer Security), die bis heute in Gebrauch ist. Allerdings ist die Abkürzung SSL geblieben, sodass die neue Version des Protokolls noch mit dem alten Namen bezeichnet wird.
Wie funktionieren SSL-Zertifikate?
SSL stellt sicher, dass zwischen Nutzern und Webseiten oder zwischen zwei Systemen übertragene Daten unlesbar bleiben. Dafür werden Verschlüsselungsalgorithmen eingesetzt, um die Daten auf dem Transportweg zu verschlüsseln, so dass Hacker sie nicht lesen können, während sie über die Verbindung gesendet werden. Zu diesen Daten zählen potenziell sensible Informationen, wie Namen, Adressen, Kreditkartennummern und andere Finanzdaten.
Der Prozess kann wie folgt beschrieben werden:
- Ein Browser oder ein Server versucht, mit SSL eine sichere Verbindung zu einer Webseite (also einem Webserver) herzustellen.
- Der Browser oder Server fordert den Webserver auf sich zu identifizieren.
- Der Webserver sendet dem Browser oder dem Server daraufhin eine Kopie seines SSL-Zertifikats zu.
- Der Browser oder der Server prüft, ob das SSL-Zertifikat vertrauenswürdig ist. Wenn dies der Fall ist, signalisiert er das dem Webserver.
- Der Webserver sendet dann eine digital signierte Bestätigung zurück, um die SSL-verschlüsselte Sitzung zu starten.
- Verschlüsselte Daten werden zwischen dem Browser oder dem Server sowie dem Webserver ausgetauscht.
Dieses Verfahren wird bisweilen als „SSL-Handschlag“ bezeichnet. Dies klingt zwar nach einem langen Prozess, dauert aber nur Millisekunden.
Wenn eine Webseite per SSL-Zertifikat gesichert ist, wird die Abkürzung HTTPS (für HyperText Transfer Protocol Secure) in der Internetadresse angezeigt. Ohne ein SSL-Zertifikat werden nur die Buchstaben HTTP, also ohne „S“ für „Secure“ (sicher), angezeigt. Ein Vorhängeschloss wird ebenfalls in der Adresszeile angezeigt. Dadurch wird den Besuchern der Website Vertrauen und Sicherheit vermittelt.
Die Informationen eines SSL-Zertifikats können per Klick auf das Vorhängeschloss in der Browserleiste aufgerufen werden. Folgende Informationen sind üblicherweise in SSL-Zertifikaten enthalten:
- Der Domain-Name für den das Zertifikat ausgestellt wurde
- Welcher Person, welcher Organisation oder welchem Gerät es zugewiesen wurde
- Welche Zertifizierungsstelle es ausgegeben hat
- Die digitale Signatur der Zertifizierungsstelle
- Dazugehörige Subdomains
- Ausstellungsdatum des Zertifikats
- Das Ablaufdatum des Zertifikats
- Der öffentliche Schlüssel (der private Schlüssel wird nicht angezeigt)
Warum Sie ein SSL-Zertifikat benötigen
Webseiten benötigen SSL-Zertifikate, um die Nutzerdaten sicher zu halten, die Eigentumsverhältnisse der Website zu überprüfen, Angreifer an der Erstellung von gefälschten Versionen der Seite zu hindern sowie den Nutzern Vertrauen zu vermitteln.
Wenn eine Webseite Nutzer dazu auffordert sich anzumelden, persönliche Daten (wie z. B. Kreditkartennummern) einzugeben oder vertrauliche Informationen (wie z. B. Gesundheitsleistungs- oder Finanzinformationen) aufzurufen, ist es unerlässlich, die Daten vertraulich zu halten. SSL-Zertifikate können Online-Interaktionen privat halten und den Nutzern die Sicherheit geben, dass die Webseite echt ist und dass über sie private Informationen sicher übermittelt werden können.
Von größerer Relevanz für Unternehmen ist die Tatsache, dass ein SSL-Zertifikat für eine HTTPS-Webadresse erforderlich ist. HTTPS ist die sichere Form von HTTP, was bedeutet, dass der Datenverkehr von HTTPS-Webseiten per SSL verschlüsselt ist. Die meisten Browser kennzeichnen HTTP-Seiten – diejenigen ohne SSL-Zertifikat – als „unsicher“. Dies sendet ein klares Signal an die Nutzer, dass die Seite möglicherweise nicht vertrauenswürdig ist, wodurch Unternehmen indirekt dazu angehalten werden auf HTTPS zu migrieren, falls dies noch nicht geschehe ist.
Ein SSL-Zertifikat kann Informationen schützen, wie die folgenden:
- Anmeldedaten
- Kreditkartentransaktionen oder Bankkontodaten
- Personenbezogene Daten (wie z. B. der vollständige Name, die Anschrift, das Geburtsdatum oder die Telefonnummer)
- Rechtliche Dokumenten und Verträge
- Medizinische Unterlagen
- Geschützte Informationen
Arten von SSL-Zertifikaten
Es gibt verschiedene Arten von SSL-Zertifikaten mit verschiedenen Validierungsebenen. Die sechs Hauptarten sind folgende:
- Extended-Validation-Zertifikate (EV SSL)
- Organization-Validated-Zertifikate (OV SSL)
- Domain-Validation-Zertifikate (DV SSL)
- Wildcard-SSL-Zertifikate
- Multi-Domain-SSL-Zertifikate (MDC)
- Unified-Communications-Zertifikate (UCC)
Extended-Validation-Zertifikate (EV SSL)
Dies ist die höchste und teuerste Art eines SSL-Zertifikats. Es wird tendenziell für renommierte Webseiten verwendet, die Daten erfassen und Online-Zahlungen umfassen. Nach der Installation zeigt dieses SSL-Zertifikat das Vorhängeschloss, HTTPS, den Unternehmensnamen und das Land in der Browser-Adressleiste an. Mit der Anzeige der Informationen des Eigentümers in der Adressleiste, kann die Seite von schädlichen Seiten unterschieden werden. Ein EV-SSL-Zertifikat lässt sich einrichten, indem der Eigentümer der Website einen standardisierten Verifizierungsprozess durchläuft, um zu bestätigen, dass er gesetzlich über die ausschließlichen Rechte an der Domain verfügt.
Organization-Validated-Zertifikate (OV SSL)
Diese Version des SSL-Zertifikats hat ein ähnliches Sicherheitsniveau wie das EV-SSL-Zertifikat, da der Eigentümer der Website für den Erhalt eines solchen Zertifikats einen wesentlichen Validierungsprozess durchlaufen muss. Dieses Zertifikat enthält ferner die Informationen des Eigentümers der Webseite in der Adressleiste, um sie von schädlichen Webseiten unterscheiden zu können. OV-SSL-Zertifikate sind tendenziell die zweitteuersten (nach EV SSLs). Sie dienen hauptsächlich der Verschlüsselung sensibler Informationen des Nutzers während Transaktionen. Gewerbliche oder öffentliche Webseiten müssen ein OV-SSL-Zertifikat installiert haben, damit sichergestellt wird, dass alle geteilten Kundeninformationen stets vertraulich behandelt werden.
Domain-Validation-Zertifikate (DV SSL)
Der Validierungsprozess für den Erhalt dieses SSL-Zertifikats ist minimal. Somit haben Domain-Validation-Zertifikate ein geringeres Sicherheitsniveau sowie eine minimale Verschlüsselung. Sie werden tendenziell für Blogs und Informationswebseiten verwendet – also für Seiten ohne Datenerfassung oder Online-Zahlungen. Dieses SSL-Zertifikat gehört zu den günstigsten und ist sehr einfach zu erhalten. Im Rahmen des Validierungsprozesses muss der Eigentümer der Webseite lediglich per Antwort auf eine E-Mail oder per Telefonanruf nachweisen, dass ihm die Domain gehört. Die Adressleiste des Browsers zeigt nur HTTPS und ein Vorhängeschloss ohne den Unternehmensnamen an.
Wildcard-SSL-Zertifikate
Mit Wildcard-SSL-Zertifikaten können eine Basisdomain und unbegrenzt viele Subdomains auf einem einzelnen Zertifikat gesichert werden. Wenn Sie mehrere Subdomains sichern möchten, ist der Kauf eines Wildcard-SSL-Zertifikats viel günstiger als der Kauf einzelner SSL-Zertifikate für jede Subdomain. Wildcard-SSL-Zertifikate haben im allgemeinen Namen ein Sternchen (*), welches für gültige Subdomains steht, die dieselbe Basisdomain haben. Beispielsweise kann ein einzelnes Wildcard-Zertifikat für *Webseite zur Sicherung von Folgendem dienen:
- IhreDomain.com
- IhreDomain.com
- IhreDomain.com
- IhreDomain.com
- IhreDomain.com
Multi-Domain-SSL-Zertifikat (MDC)
Mit einem Multi-Domain-SSL-Zertifikat können viele Domains und/oder Namen von Subdomains geschützt werden. Dies umfasst die Kombination von vollständig einzigartigen Domains sowie Subdomains mit verschiedenen TLDs (Top-Level Domains), mit Ausnahme von lokalen oder internationalen.
Beispiel:
- Beispiel.com
- org
- Diese-Domain.net
- Irgendetwas.com.au
- Beispiel.com
- Beispiel.org
Multi-Domain-Zertifikate unterstützen standardmäßige keine Subdomains. Wenn Sie www.Beispiel.com und Beispiel.com mit einem Multi-Domain-Zertifikat sichern wollen, sollten beide Hostnamen beim Erhalt des Zertifikats angegeben werden.
Unified-Communications-Zertifikat (UCC)
Unified-Communications-Zertifikate (UCC) sind ebenfalls Multi-Domain-SSL-Zertifikate. UCCs dienten ursprünglich dazu, Microsoft-Exchange- und Live-Communications-Server zu bestimmen. Heute kann jeder Eigentümer einer Webseite diese Zertifikate verwenden, um die Sicherung mehrerer Domain-Namen auf einem einzigen Zertifikat vorzunehmen. UCC-Zertifikate werden organisatorisch validiert und zeigen ein Vorhängeschloss im Browser an. UCCs können als EV-SSL-Zertifikate verwendet werden, um Besuchern von Webseiten durch die grüne Adresszeile höchstes Vertrauen zu geben.
Es ist wichtig, die verschiedenen Arten von SSL-Zertifikaten zu kennen, um das richtige Zertifikat für die eigene Webseite zu beantragen.
Erhalt eines SSL-Zertifikats
SSL-Zertifikate können direkt von der Zertifizierungsstelle erhalten werden. Zertifizierungsstellen – auch als Zertifikatsstellen bezeichnet – geben jedes Jahr Millionen von SSL-Zertifikaten aus. Sie spielen eine entscheidende Rolle für die Funktion des Internets sowie für transparente, vertrauenswürdige Interaktionen im Internet.
Die Kosten für ein SSL-Zertifikat reichen von null bis zu Hunderten von Dollar, je nach dem erforderlichen Sicherheitsniveau. Sobald Sie wissen, welche Zertifikatsart Sie benötigen, können Sie nach einem Zertifikatsaussteller suchen, der SSLs der von Ihnen benötigten Stufe anbietet.
Der Erhalt eines SSL-Zertifikats umfasst die folgenden Schritte:
- Einrichtung des Servers und Sicherstellung, dass die WHOIS-Daten aktuell sind und mit dem übereinstimmen, was Sie bei der Zertifizierungsstelle einreichen (der korrekte Unternehmensname und die korrekte Anschrift etc. müssen darauf angezeigt werden)
- Erstellung einer Certificate Signing Request (CSR) (Zertifikatsregistrierungsanforderung) auf Ihrem Server; bei diesem Vorgang kann Ihnen Ihr Hosting-Unternehmen helfen
- Einreichung dieser Anforderung bei der Zertifizierungsstelle zur Validierung Ihrer Domain- und Unternehmensdaten
- Installation des Zertifikats nach Abschluss des Vorgangs
Sobald Sie das Zertifikat erhalten haben, müssen Sie es auf Ihrem Web-Host oder – wenn Sie die Webseite selbst hosten – auf Ihren eigenen Servern konfigurieren.
Wie schnell Sie das Zertifikat erhalten, ist von der Art des Zertifikats und vom Zertifikatsaussteller abhängig. Mit jeder Validierungsstufe ist ein unterschiedlicher Zeitaufwand verbunden. Ein einfaches Domain-Validation-SSL-Zertifikat kann innerhalb von Minuten ab der Beantragung erteilt werden, während ein Extended-Validation-Zertifikat eine ganze Woche dauern kann.
Kann ein SSL-Zertifikat auf mehreren Servern verwendet werden?
Ein SSL-Zertifikat kann für mehrere Domains auf demselben Server verwendet werden. Je nach Anbieter können sie auch ein SSL-Zertifikat auf mehreren Servern verwenden. Der Grund dafür sind Multi-Domain-SSL-Zertifikate, die weiter oben behandelt wurden.
Wie der Name schon nahelegt, arbeiten Multi-Domain-SSL-Zertifikate mit mehreren Domains. Die Anzahl wird von der jeweiligen ausgebenden Zertifizierungsstelle festgelegt. Ein Multi-Domain-SSL-Zertifikat unterscheidet sich von einem Single-Domain-SSL-Zertifikat, das – wie der Name ebenfalls nahelegt – der Sicherung einer einzigen Domain dient.
Manchmal werden Multi-Domain-SSL-Zertifikate auch als SAN-Zertifikate bezeichnet, was zu Verwirrung führen kann. SAN steht für Subject Alternative Name. Jedes Multi-Domain-Zertifikat hat zusätzliche Felder (also SANs), die zur Aufführung zusätzlicher Domains verwendet werden können, die mit einem Zertifikat abgedeckt werden sollen.
Bei Unified-Communications-Zertifikaten (UCCs) und Wildcard-SSL-Zertifikaten sind ebenfalls mehrere Domains möglich, wobei bei letzteren die Zahl der Subdomains unbegrenzt ist.
Was passiert, wenn ein SSL-Zertifikat abläuft?
SSL-Zertifikate laufen in der Tat ab; sie sind nicht unendlich lange gültig. Laut dem Certificate Authority/Browser Forum, das de facto als Regulierungsstelle für die SSL-Branche fungiert, sollte die Gültigkeitsdauer von SSL-Zertifikaten längstens bei 27 Monaten liegen. Das heißt im Grunde genommen, dass aus mehr als zwei Jahren bis zu drei Jahre werden können, wenn Sie mit einer Restzeit auf Ihrem vorherigen SSL-Zertifikat eine Erneuerung vornehmen.
SSL-Zertifikate laufen ab, da die Informationen, wie bei jeder Authentifizierung, regelmäßig erneut überprüft werden müssen, damit die Richtigkeit sichergestellt ist. Unternehmen und auch Webseiten werden oftmals gekauft oder verkauft. Somit ändern sich auch die Daten im Internet. Wenn die Eigentümer wechseln, müssen auch die für SSL-Zertifikate relevanten Informationen geändert werden. Mit dem Ablaufdatum wird sichergestellt, dass die für die Authentifizierung von Servern und Organisationen verwendeten Informationen so aktuell und richtig wie möglich sind.
Früher konnten SSL-Zertifikate für ganze fünf Jahre ausgestellt werden, daraufhin wurde dieser Zeitraum auf drei Jahre verkürzt und jüngst auf zwei Jahre plus einem etwaigen zusätzlichen Zeitraum von drei Monaten. Google, Apple und Mozilla kündigten 2020 an, SSL-Zertifikate über ein Jahr herauszugeben, obwohl das Certificate Authority Browser Forum diesem Vorschlag ablehnend gegenübersteht. Diese Regelung trat im September 2020 in Kraft. Möglicherweise wird der Gültigkeitszeitraum in Zukunft noch weiter verkürzt.
Wenn ein SSL-Zertifikat abläuft, kann die betreffende Seite nicht mehr aufgerufen werden. Wenn der Browser eines Nutzers auf einer Webseite ankommt, überprüft er die Gültigkeit des SSL-Zertifikats binnen Millisekunden (im Rahmen des SSL-Handschlags). Wenn das SSL-Zertifikat abgelaufen ist, erhalten die Besucher eine Mitteilung, wie „Diese Seite ist nicht sicher. Es besteht ein potenzielles Sicherheitsrisiko“.
Zwar haben die Nutzer die Möglichkeit fortzufahren, jedoch wird dies angesichts der Cybersicherheitsrisiken, wie möglicher Malware, nicht empfohlen. Dies hat wesentlichen Einfluss auf die Abbruchraten für die Eigentümer der Webseite, da die Nutzer die Homepage schnell verlassen.
Für größere Unternehmen kann es sich als schwierig herausstellen, ablaufende SSL-Zertifikate stets im Auge zu behalten. Während kleinere und mittlere Unternehmen nur ein oder wenige Zertifikate zu verwalten haben, liegt die Zahl bei großen Unternehmen mit einer Geschäftstätigkeit in verschiedenen Ländern und mehreren Webseiten sowie Netzwerken viel höher. Auf dieser Ebene ist der Ablauf eines SSL-Zertifikats üblicherweise auf mangelnde Übersicht und nicht auf Unvermögen zurückzuführen. Große Unternehmen behalten am besten den Überblick über ablaufende SSL-Zertifikate, wenn Sie mit einer Zertifikatsmanagementplattform arbeiten. Es gibt verschiedene Produkte auf dem Markt, die über die Online-Suche zu finden sind. Mit diesen können die Unternehmen ihre digitalen Zertifikate in der gesamten Infrastruktur sehen und verwalten. Wenn Sie eine dieser Plattformen verwenden, ist es wichtig, diese regelmäßig aufzurufen, um anstehende Erneuerungen sehen zu können.
Wenn Sie ein Zertifikat ablaufen lassen, wird das Zertifikat ungültig, sodass Sie keine sicheren Transaktionen mehr auf Ihrer Webseite durchführen können. Die Zertifizierungsstelle fordert Sie auf, Ihr SSL-Zertifikat vor dem Ablaufdatum zu erneuern.
Die von Ihnen gewählte Zertifizierungsstelle oder der von Ihnen gewählte SSL-Dienst für den Erhalt Ihrer SSL-Zertifikate sendet Ihnen in regelmäßigen Abständen Ablaufbenachrichtigungen – üblicherweise beginnend 90 Tage im Voraus. Lassen Sie diese Erinnerungen möglichst an eine E-Mail-Verteiler-Liste senden und nicht nur an eine einzige Person, die beim Versand der Erinnerung das Unternehmen möglicherweise bereits verlassen hat oder auf eine andere Stelle gewechselt ist. Überlegen Sie, welche Stakeholder in Ihrem Unternehmen auf dieser Verteilerliste geführt werden, damit die richtigen Personen die Erinnerungen zur rechten Zeit erhalten.
Wie sich feststellen lässt, ob eine Seite ein SSL-Zertifikat hat
Am einfachen lässt sich über die Adresszeile in Ihrem Browser in Erfahrung bringen, ob für eine Seite ein SSL-Zertifikat existiert:
- Wenn die Internetadresse mit HTTPS, anstatt mit HTTP beginnt, bedeutet dies, dass die Seite mit einem SSL-Zertifikat gesichert ist.
- Sichere Seiten zeigen ein geschlossenes Vorhängeschloss an, über das Sie per Klick die Sicherheitsinformationen abrufen können. Die vertrauensvollsten Seiten haben grüne Vorhängeschlösser oder Adresszeilen.
- Der Browser gibt zudem eine Warnung aus, wenn eine Verbindung nicht sicher ist. Zum Beispiel in Form eines roten Vorhängeschlosses, eines nicht geschlossenen Vorhängeschlosses, einer die Adresse der Webseite durchziehenden Linie oder eines Warndreiecks über dem Vorhängeschloss.
Sichere Online-Sitzung
Geben Sie Ihre persönlichen Daten und Online-Zahlungsinformationen nur auf Webseiten mit EV- oder OV-Zertifikaten ein. DV-Zertifikate sind für E-Commerce-Webseiten nicht geeignet. Ob eine Seite über ein EV- oder OV-Zertifikat verfügt, sehen Sie anhand der Adressleiste. Bei einem EV-SSL-Zertifikat ist der Name der Organisation in der Adressleiste selbst zu sehen. Bei einem OV-SSL-Zertifikat können Informationen zum Namen der Organisation per Klick auf das Vorhängeschloss abgerufen werden. Bei einem DV-SSL-Zertifikat ist nur das Vorhängeschloss zu sehen.
Lesen Sie die Datenschutzrichtlinie der Webseite. Dort erfahren Sie, wie Ihre Daten verwendet werden. Seriöse Unternehmen geben transparent Auskunft darüber, wie sie Ihre Daten erfassen und wie sie diese verarbeiten.
Achten Sie bei Webseiten auf Anzeichen oder Hinweise, die Vertrauen signalisieren.
Genau wie SSL-Zertifikate, gehören dazu seriöse Logos und Kennzeichen, die verdeutlichen, dass die Webseite bestimmte Sicherheitsstandards erfüllt. Außerdem lässt sich möglicherweise feststellen, ob eine Webseite echt ist oder nicht, wenn eine physische Anschrift und eine Telefonnummer angegeben sind, wenn es eine Rückgabe- und Rückerstattungsrichtlinie gibt und wenn die Preise glaubwürdig sind und nicht zu gut um wahr zu sein.
Achten Sie auf Phishing-Fallen.
Manchmal ahmen Cyberkriminelle andere Webseiten nach, damit dort Käufe getätigt oder persönliche Daten eingegeben werden. Phishing-Seiten können ein SSL-Zertifikat erhalten und somit den gesamten Datenverkehr zwischen Ihnen und der Seite verschlüsseln. Phishing erfolgt immer öfter auf HTTPS-Seiten – Nutzer werden getäuscht, die sich aufgrund des vorhandenen Vorhängeschlosses sicher fühlen.
So lassen sich diese Angriffe verhindern:
- Überprüfen Sie immer die Domain der Seite, auf der Sie sich befinden und achten Sie darauf, dass der Name richtig geschrieben ist. Die Internetadresse einer gefälschten Seite unterscheidet sich vielleicht nur durch ein Zeichen – z. B. amaz0n.com, anstatt amazon.com. Geben Sie die Domain im Zweifelsfall direkt in Ihren Browser ein, um sicherzugehen, dass Sie mit der richtigen Webseite verbunden sind.
- Geben Sie niemals Anmeldedaten, Passwörter, Bankdaten oder andere persönliche Informationen auf einer Seite ein, von der Sie nicht sicher wissen, dass sie echt ist.
- Achten Sie immer darauf, was eine bestimmte Seite genau anbietet, ob sie verdächtig aussieht und ob eine Registrierung wirklich erforderlich ist.
- Stellen Sie sicher, dass Ihre Geräte gut geschützt sind: Kaspersky Internet Security gleicht Internetadressen mit einer umfangreichen Datenbank an Phishing-Seiten ab und erkennt Fallen ganz gleich, wie „sicher“ die Seite aussieht.
Cybersicherheitsrisiken entwickeln sich immer weiter. Wer aber die verschiedenen Arten von SSL-Zertifikaten kennt und eine sichere Seite von einer potenziell gefährlichen Seite unterscheiden kann, ist in der Lage, Fallen zu vermeiden und die eigenen persönlichen Daten vor Cyberkriminellen zu schützen.
Ähnliche Artikel: