Was ist eigentlich ein SSL-Zertifikat?

Kennen Sie das?

Sie wollen eine nicht-verschlüsselte Internetseite aufrufen und Ihr Browser meldet eine „nicht sichere Verbindung“? Dies nimmt jedem User das Vertrauen in die Sicherheit der gewünschten Webseite. Gleichzeitig wird die Webseite von Google & Co. im Ranking abgewertet. Ein Sicherheitszertifikat bietet also für User und Betreiber große Vorteile und bewahrt den Webseitenbetreiber vor einem Imageschaden.

Seit dem 25. Mai 2018 ist die Europäische-Datenschutzgrundverordnung (DSGVO) in Kraft getreten.

Infolgedessen ist eine Verschlüsselung für jede Seite zwingend erforderlich, wenn personenbezogene Daten erhoben werden. Ein einfaches Kontaktformular ist ausreichend, um eine Verschlüsselung rechtlich einzufordern. Der Grund erschließt sich dadurch, dass jede unverschlüsselte Datenübertragung innerhalb des Internets abgefangen, gelesen oder sogar verfälscht werden kann. Ein gültiges SSL – Zertifikat sorgt hier für eine abhörsichere Datenübertragung und schützt somit sensible Daten und persönliche Informationen.

Das Zertifikat (SSL – Secure Sockets Layer) steht für eine verschlüsselte Datenübertragung beim Aufruf eine Webseite.

Die offizielle Bezeichnung ist TLS-Protokoll (Transport Layer Security), aber der veraltete Begriff SSL-Verschlüsselung hat sich bei den Nutzern eingebürgert. Ist eine Verschlüsselung auf der Webseite vorhanden, wird das vorhandene Zertifikat an den aufrufenden Browser übermittelt. Der Browser überprüft die Gültigkeit und stellt dann eine verschlüsselte Verbindung zwischen dem Webseitenserver und dem aufrufenden Rechner her. Dem Besucher wird die Webseite als „sicher“ dargestellt.

Ein SSL – Zertifikat wird grundsätzlich für eine einzelne Domain ausgestellt (z.B. www.musterdomain.de). Zuerst wird geprüft, ob die beantragende Person auch der rechtliche Inhaber der Domain ist, oder ein beauftragter Dienstleister. Ohne eine solche Prüfung könnten nicht berechtigte Personen ein Zertifikat auf eine fremde Domain einrichten und somit verschlüsselte Daten lesen und auswerten. Bei der Verschlüsselungsart sind folgende, sicherheitsrelevante Stufen zu beachten:

Diese Zertifikatsform bezieht sich auf den Domaininhaber und dessen Unternehmensnamen. Der Sitz der Firma ist im Zertifikat vermerkt. Die Daten des Zertifikatkäufers werden mehrfach überprüft (z.B. Telefonanruf, Visitenkarte oder Bestätigungsmail). Diese Form der Zertifikate nutzen oftmals Banken und große Online-Shops. Die Ausstellung ist kostenpflichtig und unternehmensabhängig.

Diese Zertifikate sind kostenfrei und werden von der Internet-Security Research Group aus San Francisco ausgestellt. Die Erstellung, Beglaubigung und die Verlängerung eines Zertifikates werden automatisiert bearbeitet. Antragsteller und die Domain werden kontrolliert und das Zertifikat erstellt. Diese automatisierte Vorgehensweise hat die Webseitenverschlüsselung enorm vereinfacht und vorangetrieben.

Die Sicherheit der Datenverschlüsselung ist von der Laufzeit des Zertifikates abhängig. Diese ist vergleichbar mit einer Passwortvergabe, bei der Sie das Kennwort regelmäßig ändern müssen. Dies wird bei den SSL-Zertifikaten durch eine Laufzeitverlängerung abgebildet. Individuelle und somit kostenpflichtige Zertifikate haben in der Regel eine Gültigkeit von 12 Monaten. Um den Sicherheitsstatus beizubehalten, ist danach eine weitere Validierung notwendig. Die kostenfreien Zertifikate haben eine kürzere Laufzeit von 3 Monaten, was einen Sicherheitsvorteil bietet, auch wenn die Überprüfung und Erstellung weiterhin automatisiert abläuft.

Rufen Sie eine verschlüsselte Seite auf, wird Ihnen ein grünes Schloss-Symbol vor der eigentlichen Web-Adresse angezeigt. Dieses Schloss bestätigt, dass die Webseite als sicher eingestuft worden ist. Ist das Zertifikat organisationsvalidiert, so wird auch der Eigentümer angegeben. Klicken Sie auf das Schloss, und Sie erhalten weitere Sicherheitsinformationen und zum Zertifikat. Sie erkennen gleichzeitig den Aussteller und auch den Zeitraum der Gültigkeit.

Bei einer verschlüsselten Webseite wird außerdem nicht http:// vor der Domain angezeigt, sondern https://. Das s steht hierbei für die Sicherheit (secure).

Vorsicht ist trotzdem immer geboten. Ein blindes Vertrauen auf die angezeigten Zertifizierungen kann einem Nutzer auch Schaden zufügen. Im Internet sind auch gefälschte Webseiten vorzufinden, die mit einem TLS/SSL Zertifikat ausgestattet sind. Besonders im Zahlungsverkehr sollten Sie auf ein gültiges Zertifikat achten, welches durch ein grünes Schloss angezeigt wird. Zwingend sollten Sie auf die richtige Domainbezeichnung achten! Ist das Zertifikat organisationsvalidiert, so sichert Sie der Name der Unternehmung zusätzlich ab.