{"id":16528,"date":"2018-04-27T10:33:45","date_gmt":"2018-04-27T08:33:45","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=16528"},"modified":"2018-05-04T10:49:10","modified_gmt":"2018-05-04T08:49:10","slug":"certificates-are-different","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/certificates-are-different\/16528\/","title":{"rendered":"Welche Typen von SSL-Zertifikaten gibt es?"},"content":{"rendered":"

Eine HTTPS-Verbindung ist verschl\u00fcsselt und daher sicher; eine ungesch\u00fctzte Verbindung ist es demnach nicht. Einfach, oder? Woher stammen SSL-Zertifikate \u00fcberhaupt, was ist der Unterschied zwischen SSL und TLS und was hat ein digitales Zertifikat mit Sicherheit zu tun?<\/span><\/p>\n

In diesem Beitrag m\u00f6chten wir versuchen, zumindest einige dieser und andere verwandte Fragen zu beantworten. Beginnen wir \u00a0allerdings mit der Bedeutung von HTTP und HTTPS in der Adresszeile Ihres Browsers.\"\"<\/a><\/p>\n

HTTP und HTTPS zur Daten\u00fcbertragung<\/h2>\n

Beim Besuch einer Website oder bei der Eingabe bestimmter Daten auf dieser Website werden Informationen zwischen dem Computer des Besuchers und dem Server ausgetauscht, auf dem die Website gehostet wird. Dieser Prozess wird durch ein Daten\u00fcbertragungsprotokoll gesteuert, das als HTTP (HyperText Transfer Protocol) bezeichnet wird.<\/p>\n

Die Erweiterung von HTTP, HTTPS (HyperText Transfer Protocol Secure), weist eine zus\u00e4tzliche Schutzebene auf. Das sichere HTTPS-Verfahren \u00fcbernimmt die \u00dcbertragung von Informationen zwischen Client und Server in verschl\u00fcsselter Form. Das bedeutet, dass keine Drittpersonen (z. B. Ihr Internetanbieter oder Administrator) auf Informationen, die zwischen Client und Server ausgetauscht werden, zugreifen kann.<\/p>\n

Daten, die vom Client an den Server \u00fcbertragen werden, werden wiederum mit einem eigenen kryptografischen Protokoll verschl\u00fcsselt. Das erste zu diesem Zweck verwendete Protokoll war SSL (Secure Sockets Layer). Es gab mehrere Versionen des SSL-Protokolls, die mit der Zeit bestimmte Sicherheitsprobleme aufwiesen. Eine \u00fcberarbeitete Version, die noch heute verwendet wird, folgte \u2013 TLS (Transport Layer Security). Die Initialen SSL verankerten sich allerdings in den K\u00f6pfen der Nutzer und so wird die neue Version des Protokolls auch heute noch oftmals mit dem alten Namen SSL bezeichnet.<\/span><\/p>\n

Zur Verschl\u00fcsselung muss eine Website \u00fcber ein Zertifikat, das oftmals auch als digitale Signatur bezeichnet wird, verf\u00fcgen, mit dem best\u00e4tigt wird, dass der Verschl\u00fcsselungsmechanismus vertrauensw\u00fcrdig ist und dem Protokoll entspricht. Zus\u00e4tzlich weist ein kleines gr\u00fcnes Schloss (in einigen Browsern auch eine Art Schutzschild) mit dem Wort Sicher<\/em> oder dem Namen des Unternehmens in der Browser-Adressleiste auf eine sichere Verbindung hin. <\/span><\/p>\n

Was digitale Zertifikate sind, welche Arten es gibt und welche Probleme mit ihnen verbunden sind<\/p>Tweet<\/a><\/blockquote>\n

So erh\u00e4lt eine Website ein SSL-Zertifikat<\/h3>\n

Es gibt zwei M\u00f6glichkeiten, ein solches Zertifikat zu erhalten. Ein Webmaster kann das Zertifikat ausstellen und signieren und kryptografische Schl\u00fcssel generieren. Derartige Zertifikate werden auch <\/span>selbstsignierte <\/span><\/em> Zertifikate genannt. Beim Versuch, auf die Website zuzugreifen, taucht eine Warnmeldung auf, die Nutzer darauf hinweist, dass das Zertifikat nicht vertrauensw\u00fcrdig ist.<\/span><\/p>\n

Auf solchen Websites zeigt das Browserfenster ein durchgestrichenes Schloss, ein rotes Schutzschild, die W\u00f6rter Nicht sicher<\/em>, die Buchstaben HTTPS<\/em> rot statt gr\u00fcn markiert oder die Buchstaben HTTPS<\/em> durchgestrichen und rot markiert in der Adresszeile an \u2013 das Ganze kann je nach Browser und f\u00fcr verschiedene Versionen desselben Browsers variieren.<\/p>\n

Die bessere M\u00f6glichkeit besteht darin, ein Zertifikat zu erwerben, das von einer vertrauensw\u00fcrdigen Zertifizierungsstelle (CA) signiert wurde. CAs \u00fcberpr\u00fcfen die Dokumente des Eigent\u00fcmers der Website und sein Recht auf den Besitz der Domain \u2013 schlie\u00dflich sollte ein Zertifikat signalisieren, dass die Ressource zu einem legitimen Unternehmen geh\u00f6rt, das in einer bestimmten Region registriert und ans\u00e4ssig ist.<\/p>\n

Obwohl es relativ viele CAs gibt, kann man die Anzahl der sogenannten Blue-Chip-CAs an den Fingern abz\u00e4hlen. Die Reputation einer CA bestimmt, wie viel Vertrauen Browser-Entwickler ihr schenken; der Preis eines Zertifikats h\u00e4ngt von der Art und G\u00fcltigkeitsdauer sowie von der Reputation der CA ab.<\/p>\n

Arten von SSL-Zertifikaten<\/h3>\n

Es gibt unterschiedliche Zertifikatstypen, die von Zertifizierungsstellen signiert werden: Sie unterscheiden sich in ihrer Vertrauensw\u00fcrdigkeit, dem Erwerbspreis, usw.<\/span><\/p>\n

Domain-Validation-Zertifikate<\/h4>\n

Um ein Domain-Validierungszertifikat zu erhalten, muss eine nat\u00fcrliche oder juristische Person nachweisen k\u00f6nnen, dass sie im Besitz der betreffenden Domain ist oder ihre Website unter der jeweiligen Domain verwaltet. Zwar wird mithilfe des Zertifikats die Herstellung einer sicheren Verbindung erm\u00f6glicht, es enth\u00e4lt jedoch keine Informationen zu dem zugeh\u00f6rigen Unternehmen und es sind keine Dokumente f\u00fcr seine Ausstellung erforderlich. Ein solches Zertifikat zu erhalten nimmt meist nur wenige Minuten in Anspruch.<\/span><\/p>\n

Organization-Validation-Zertifikate<\/h4>\n

\u00dcbergeordnete Versionen werden als Organisation-Validierungs-Zertifikate bezeichnet, die nicht nur best\u00e4tigen, dass die Verbindung zu einer Domain sicher ist, sondern dass diese auch tats\u00e4chlich zu dem Unternehmen geh\u00f6rt, das im Zertifikat angegeben ist. Das \u00dcberpr\u00fcfen der gesamten Dokumentation und das anschlie\u00dfende Ausstellen eines Zertifikats kann mehrere Tage dauern. Wenn eine Website \u00fcber ein DV- oder OV-Zertifikat verf\u00fcgt, zeigt der Browser ein graues oder gr\u00fcnes Schloss mit dem Wort Sicher <\/em>und den Buchstaben HTTPS<\/em> in der Adressleiste an.<\/span><\/p>\n

Extended-Validation-Zertifikate<\/h4>\n

Auf der obersten Ebene befinden sich die Extended-Validation-SSL-Zertifikate. Wie beim OV-Zertifikat ist die Ausgabe dieser Zertifikate an strengere Vergabekriterien gebunden. In der Adressleiste wird der Name und der Standort eines Unternehmens in gr\u00fcner Schrift neben dem gr\u00fcnen Schloss angezeigt.<\/span><\/p>\n

EV-Zertifikate sind am vertrauensw\u00fcrdigsten und somit auch die teuersten. Auch hier k\u00f6nnen je nach Browser Informationen \u00fcber das Zertifikat (wer es wann ausgestellt hat) angezeigt werden, indem man auf den Namen des Unternehmens oder auf das Wort Sicher <\/em>klickt.<\/span><\/p>\n

Probleme<\/h3>\n

Online-Sicherheit und Benutzerdatenschutz sind zentrale Grundprinzipien, die gro\u00dfe Browser-Entwickler wie Google und Mozilla in ihre Richtlinien ber\u00fccksichtigen. Im Herbst 2017 k\u00fcndigte Google beispielsweise an<\/a>, dass zuk\u00fcnftig alle Seiten mit einer HTTP-Verbindung als \u201enicht sicher\u201c markiert werden w\u00fcrden und es Nutzern den Zugang zu solchen Seiten erheblich erschweren w\u00fcrde.<\/span><\/p>\n

Googles Spielzug zwang die Websites mit HTTP-Verbindung dazu, ein vertrauensw\u00fcrdiges Zertifikat zu erwerben. Dementsprechend stieg die Nachfrage an CA-Diensten, was viele Beh\u00f6rden dazu veranlasste, die Phase der Dokumentenpr\u00fcfung zu beschleunigen, was sich wiederum negativ auf die Qualit\u00e4tskontrolle auswirkte.<\/span><\/p>\n

Demnach k\u00f6nnen heutzutage Zertifikate an Websites vergeben werden, die nicht zu 100 Prozent vertrauensw\u00fcrdig sind. Eine Studie von Google<\/a> ergab, dass eine der gr\u00f6\u00dften und renommiertesten Zertifizierungsstellen mehr als 30.000 Zertifikate ohne Sorgfaltspr\u00fcfung ausgestellt hatte. Die Konsequenzen f\u00fcr die fragliche CA waren gravierend: Google gab bekannt, dass das Unternehmen allen betroffenen Websites das Vertrauen entziehen w\u00fcrde, bis das Verifizierungssystem vollst\u00e4ndig \u00fcberarbeitet und neue Standards eingef\u00fchrt w\u00fcrden. Mozilla plant au\u00dferdem, die \u00dcberpr\u00fcfung von Zertifikaten in seinen Browsern zu versch\u00e4rfen<\/a>.<\/span><\/p>\n

Trotz derartiger Ma\u00dfnahmen kann man immer noch nicht vollst\u00e4ndig darauf vertrauen, dass ein Zertifikat und sein Besitzer zu 100 % authentisch sind. Selbst bei einem EV-Zertifikat, das \u00e4u\u00dferlich alle Sicherheitsanforderungen erf\u00fcllt, kann dem gr\u00fcnen Schloss nicht bedingungslos vertraut werden.<\/span><\/p>\n

Die momentane Situation der EV-Zertifikate ist lamentabel. So k\u00f6nnen Phisher beispielsweise ein Unternehmen unter einem Namen registrieren, der einem bekannten Unternehmen verd\u00e4chtig \u00e4hnlich ist und ein EV-Zertifikat f\u00fcr diese Website erhalten. Der bekannt klingende Firmenname wird in der Adressleiste der Phishing-Website in gr\u00fcner Schrift angezeigt, was dem Ganzen noch mehr Glaubw\u00fcrdigkeit verleiht. Daher sollten Benutzer auch bei dem Besuch scheinbar \u201esicherer\u201c Websites immer die Augen offen halten und diese Richtlinien<\/a> befolgen.<\/span><\/p>\n","protected":false},"excerpt":{"rendered":"

Wir erkl\u00e4ren Ihnen, was digitale Zertifikate \u00fcberhaupt sind, welche Zertifikattypen es gibt und welche Probleme mit ihnen verbunden sind.<\/p>\n","protected":false},"author":2455,"featured_media":16529,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2287],"tags":[274,39,437,329,120,1653,371,439,156],"class_list":{"0":"post-16528","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-technology","8":"tag-bedrohungen","9":"tag-google","10":"tag-https","11":"tag-internet","12":"tag-mozilla","13":"tag-security","14":"tag-ssl","15":"tag-tls","16":"tag-verschlusselung"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/certificates-are-different\/16528\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/certificates-are-different\/13192\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/certificates-are-different\/10999\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/certificates-are-different\/15272\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/certificates-are-different\/13539\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/certificates-are-different\/12798\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/certificates-are-different\/15959\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/certificates-are-different\/15534\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/certificates-are-different\/20227\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/certificates-are-different\/4885\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/certificates-are-different\/22147\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/certificates-are-different\/10374\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/certificates-are-different\/10851\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/certificates-are-different\/20273\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/certificates-are-different\/20158\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/certificates-are-different\/20155\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/security\/","name":"Sicherheit"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/16528","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/2455"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=16528"}],"version-history":[{"count":6,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/16528\/revisions"}],"predecessor-version":[{"id":16571,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/16528\/revisions\/16571"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/16529"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=16528"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=16528"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=16528"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}