06.04.18

Sichere Website: Was ist eigentlich ein SSL-Zertifikat?

Erfahren Sie, wie Sie einen sicheren Internetauftritt erkennen und warum Sie Ihre eigene Website mit einem SSL-Zertifikat schützen sollten.

 
 
Sichere Website: Was ist eigentlich ein SSL-Zertifikat?

Ab dem 25. Mai 2018 Pflicht für alle Websites, die personenbezogene Daten erheben: ein SSL-Zertifikat. Was es damit auf sich hat, erfahren Sie hier.

Die gängigen Web-Browser warnen bereits seit längerem beim Aufruf von nicht verschlüsselten Websites und kennzeichnen diese als „nicht sichere Verbindungen“. Gleichzeitig werden verschlüsselte Seiten von Suchmaschinen besser bewertet. Es lohnt sich also, eine Website mit einem Sicherheitszertifikat zu verschlüsseln.

Zudem sind solche Zertifikate auch gesetzlich Pflicht. Seit am 25. Mai 2018 die Europäische Datenschutzverordnung (DSGVO) in Kraft getreten ist, muss jede Website verschlüsselt sein, auf der persönliche Daten erhoben werden. Dies ist bereits der Fall, wenn sich ein einfaches Kontaktformular auf der Website befindet.

Keinesfalls sollten Sie nun Ihr Kontaktformular ausblenden. Vielmehr sollten alle Websites mit einem SSL-Sicherheitszertifikat ausgestattet werden und so dem heutigen Standard im Web entsprechen. Die gute Nachricht: während es bisher recht aufwändig und auch kostspielig war, ein SSL-Zertifikat einzurichten, gibt es zwischenzeitlich kostenfreie Freeware-Zertifikate.

Doch was ist eigentlich ein SSL-Zertifikat, woran erkenne ich verschlüsselte Seiten und wie wird meine eigene Website sicher? Hier finden Sie die wichtigsten Informationen im Überblick.

 

Warum ist eine Verschlüsselung für Websites überhaupt nötig?

Grundsätzlich kann jede unverschlüsselte Datenübertragung im Internet abgefangen, mitgelesen oder im schlimmsten Fall auch manipuliert werden. Verfügt die Website über ein gültiges Sicherheitszertifikat, entsteht eine verschlüsselte Verbindung und die Datenübertragung wird „abhörsicher“. Insbesondere, wenn über eine Website sensible Daten abgefragt werden, sollte dies ausschließlich über verschlüsselte Seiten erfolgen. Spätestens seit Mai 2018 darf in der EU jede Art von personenbezogenen Daten nur noch verschlüsselt übertragen werden.

 

Was ist ein SSL-Zertifikat?

Für die Verschlüsselung der Datenübertragung beim Aufruf einer Website sorgt ein sogenanntes SSL-Zertifikat. SSL steht für „Secure Sockets Layer“ und ist eigentlich eine veraltete Bezeichnung. Denn die ursprüngliche SSL-Verschlüsselung wurde schon vor Jahren durch das TLS-Protokoll abgelöst. Im Sprachgebrauch ist aber die alte Bezeichnung der SSL-Zertifikate weiterhin offiziell bestehen geblieben. Selbst bei den Anbietern der Zertifikate findet man die Bezeichnung TLS erst auf den zweiten Blick. TLS steht für „Transport Layer Security“, wörtlich übersetzt „Transport-Ebenen-Sicherheit“. Tatsächlich kann man sich die Zertifikate wie „Transportebenen“ vorstellen, über die der Datenaustausch stattfindet.

Verfügt eine Website über ein gültiges SSL- bzw. TLS-Sicherheitszertifikat, wird dieses beim Aufruf der Seite an den Browser übermittelt. Dieser überprüft, ob das Zertifikat für diese Seite auch wirklich gültig ist. Ist dies der Fall, entsteht eine verschlüsselte Verbindung zwischen dem Server mit der Website und dem Rechner, der die Seite aufruft. Die Seite wird dem Besucher als sicher angezeigt.

 

Welche Arten von SSL- bzw. TLS-Zertifikaten gibt es?

Ein SSL-Zertifikat wird immer für eine bestimmte Domain (zum Beispiel www.medienkompass.de) ausgestellt. Dabei wird auf unterschiedliche Arten geprüft, ob derjenige, der das Zertifikat beantragt, auch wirklich der Eigentümer der Domain ist oder als Dienstleister berechtigt ist, ein Zertifikat für diese Domain einzurichten. Würde diese Prüfung nicht stattfinden, könnten sich Kriminelle ein Zertifikat für eine fremde Domain einrichten und so die verschlüsselten Daten mitlesen.

Je aufwändiger also die Überprüfung (Validierung), ob Domaininhaber und Zertifikatsbesitzer dieselbe Person oder dasselbe Unternehmen sind, umso sicherer ist ein Zertifikat. Für einen ersten Überblick werden hier die zwei wichtigsten Varianten vorgestellt. Dazwischen gibt es zahlreiche Abstufungen:

 

1. Individuelle, kostenpflichtige Zertifikate (Organisationsvalidierte Zertifikate)

Diese Zertifikate werden speziell für den Domaininhaber erstellt. Dessen Daten wie Name des Unternehmens und Firmensitz sind dann im Zertifikat enthalten. Beim Kauf des Zertifikats wird mehrfach überprüft, ob die Domain auch dem Käufer gehört, zum Beispiel durch einen Telefonanruf der Zertifizierungsstelle, Zuschicken von Briefpapier oder Visitenkarten oder mindestens einer E-Mail, die bestätigt werden muss. Diese Zertifikate sind sehr sicher und für Bankingportale oder große Webshops erforderlich.

 

2. Kostenfreie, domainvalidierte Zertifikate

Bekanntester Anbieter ist hier derzeit Let´s Encrypt (übersetzt so viel wie „Lasst uns verschlüsseln“). Die kostenfreien Zertifikate werden von der Internet-Security Research Group (ISRG) ausgestellt, einer gemeinnützigen Nonprofit-Organisation mit Sitz in San Francisco. Die Erstellung, Validierung und Verlängerung der Zertifikate erfolgt automatisiert: Ein von Let´s Encrypt erstellter Schlüssel wird auf dem Webserver oder bei der Domain abgelegt und über ein sicheres, mehrschichtiges System abgefragt. Passt die verschlüsselte Antwort des Servers zum ursprünglich erstellen Schlüssel von Let´s Encrypt ist bestätigt, dass der Antragsteller des Zertifikats den Webserver bzw. die Domain kontrolliert. Dieses automatisierte Vorgehen hat die Verschlüsselung von Websites enorm vereinfacht und weltweit vorangetrieben.

 

Wie lange ist ein SSL-Zertifikat gültig?

Ausschlaggebend für die Sicherheit eines Zertifikats ist auch die Laufzeit. Ähnlich wie man ein Passwort regelmäßig ändern sollte, müssen auch SSL-Zertifikate regelmäßig erneuert werden. Die gängige Laufzeit wurde für individuelle, kostenpflichtige Zertifikate von 48 Monaten auf 12 Monate verkürzt. Danach ist eine erneute Validierung nötig. Kostenfreie, domainvalidierte Zertifikate laufen sogar nur 3 Monate, was aktuell von Spezialisten als deutlicher Sicherheitsvorteil gewertet wird, auch wenn die Validierung und Erneuerung der Zertifikate automatisiert erfolgt.

     

Woran erkenne ich, ob eine Seite verschlüsselt ist?

Ob eine Seite SSL-verschlüsselt ist, erkennen Sie beim Aufruf der Seite direkt an dem grünen Schloss-Symbol vor der Website-Adresse. Die Verbindung wird als sicher eingestuft. Bei organisationsvalidierten Zertifikaten wird zusätzlich der Eigentümer des Zertifikats direkt mit angegeben.

Durch Klick auf das Schloss werden Ihnen weitere Informationen zur Sicherheit der Verbindung und zum Zertifikat angezeigt. Hier erfahren Sie, wer das Zertifikat ausgestellt hat und wie lange es gültig ist.

Außerdem erkennen Sie verschlüsselte Seiten auch immer am „https://“ (statt http://http://) vor der Domain. Das S steht hier für „secure“, also „sicher“.

 

Sind alle SSL-verschlüsselten Seiten automatisch sicher?

Auch wenn die Verschlüsselung von Websites die Datenübertragung im Internet sicherer macht, dürfen Sie dennoch nicht allen Seiten mit SSL- bzw. TLS-Zertifikat blind vertrauen. Denn natürlich versuchen Kriminelle ihre gefälschten Websites ebenfalls mit Zertifikaten zu versehen, um seriös zu erscheinen. Achten Sie also bei der Übertragung von Daten (insbesondere bei Bankdaten) darauf, dass es sich um die exakt richtige Domain handelt und diese mit einem gültigen Zertifikat (grünes Schloss) versehen ist. Bei Banken und großen Shops mit Online-Bezahlmöglichkeiten ist in der Regel ein organisationsvalidiertes Zertifikat im Einsatz, das heißt der Name des Unternehmens wird direkt in der Adresszeile des Browsers angezeigt.

 

Wie bekomme ich ein Zertifikat für meine Website?

Fragen Sie zunächst bei Ihrem (Domain- oder Website-) Provider nach. Viele Provider bieten zwischenzeitlich die Einrichtung von Zertifikaten mit an. Bei entsprechenden Kenntnissen können Sie als Webmaster natürlich auch selbst ein Zertifikat installieren. Hier können Sie auf kostenlose Zertifikate (zum Beispiel Let´s Encrypt) zurückgreifen. Oder Sie kaufen ein für Sie persönlich ausgestelltes Zertifikat bei einem entsprechenden Anbieter (zum Beispiel PSW Group www.psw-group.de).

Nutzen Sie für Ihre Website einen Internet-Baukasten aus dem Evangelischen Medienhaus? Dann brauchen Sie sich um das Thema SSL-Verschlüsselung keine Sorgen machen – alle Baukästen sind mit einem kostenfreien Zertifikat ausgestattet.

     

Das könnte Sie auch interessieren: