Ein SSL-Zertifikat ist ein digitales Zertifikat, das die Identität einer Webseite authentifiziert und eine verschlüsselte Verbindung ermöglicht. SSL steht für Secure Sockets Layer, ein Sicherheitsprotokoll, das eine verschlüsselte Verbindung zwischen einem Webserver und einem Webbrowser erzeugt.
Unternehmen und Organisationen müssen ihren Webseiten SSL-Zertifikate hinzufügen, um Online-Transaktionen zu sichern und die Kundeninformationen privat und sicher zu halten.
Überblick: SSL sorgt für eine sichere Internetverbindung und verhindert, dass Kriminelle über zwei Systeme übertragene Informationen lesen und ändern. Wenn Sie ein Vorhängeschloss neben der Internetadresse in der Adresszeile sehen, bedeutet das, dass die von Ihnen besuchte Webseite sicher ist.
Seit der Einführung vor rund 25 Jahren hat es verschiedene Versionen des SSL-Protokolls gegeben, die alle an einem bestimmten Punkt an sicherheitsbezogene Probleme stießen. Es folgte eine überarbeitete und umbenannte Version namens TLS (Transport Layer Security), die bis heute in Gebrauch ist. Allerdings ist die Abkürzung SSL geblieben, sodass die neue Version des Protokolls noch mit dem alten Namen bezeichnet wird.
SSL stellt sicher, dass zwischen Nutzern und Webseiten oder zwischen zwei Systemen übertragene Daten unlesbar bleiben. Dafür werden Verschlüsselungsalgorithmen eingesetzt, um die Daten auf dem Transportweg zu verschlüsseln, so dass Hacker sie nicht lesen können, während sie über die Verbindung gesendet werden. Zu diesen Daten zählen potenziell sensible Informationen, wie Namen, Adressen, Kreditkartennummern und andere Finanzdaten.
Der Prozess kann wie folgt beschrieben werden:
Dieses Verfahren wird bisweilen als „SSL-Handschlag“ bezeichnet. Dies klingt zwar nach einem langen Prozess, dauert aber nur Millisekunden.
Wenn eine Webseite per SSL-Zertifikat gesichert ist, wird die Abkürzung HTTPS (für HyperText Transfer Protocol Secure) in der Internetadresse angezeigt. Ohne ein SSL-Zertifikat werden nur die Buchstaben HTTP, also ohne „S“ für „Secure“ (sicher), angezeigt. Ein Vorhängeschloss wird ebenfalls in der Adresszeile angezeigt. Dadurch wird den Besuchern der Website Vertrauen und Sicherheit vermittelt.
Die Informationen eines SSL-Zertifikats können per Klick auf das Vorhängeschloss in der Browserleiste aufgerufen werden. Folgende Informationen sind üblicherweise in SSL-Zertifikaten enthalten:
Webseiten benötigen SSL-Zertifikate, um die Nutzerdaten sicher zu halten, die Eigentumsverhältnisse der Website zu überprüfen, Angreifer an der Erstellung von gefälschten Versionen der Seite zu hindern sowie den Nutzern Vertrauen zu vermitteln.
Wenn eine Webseite Nutzer dazu auffordert sich anzumelden, persönliche Daten (wie z. B. Kreditkartennummern) einzugeben oder vertrauliche Informationen (wie z. B. Gesundheitsleistungs- oder Finanzinformationen) aufzurufen, ist es unerlässlich, die Daten vertraulich zu halten. SSL-Zertifikate können Online-Interaktionen privat halten und den Nutzern die Sicherheit geben, dass die Webseite echt ist und dass über sie private Informationen sicher übermittelt werden können.
Von größerer Relevanz für Unternehmen ist die Tatsache, dass ein SSL-Zertifikat für eine HTTPS-Webadresse erforderlich ist. HTTPS ist die sichere Form von HTTP, was bedeutet, dass der Datenverkehr von HTTPS-Webseiten per SSL verschlüsselt ist. Die meisten Browser kennzeichnen HTTP-Seiten – diejenigen ohne SSL-Zertifikat – als „unsicher“. Dies sendet ein klares Signal an die Nutzer, dass die Seite möglicherweise nicht vertrauenswürdig ist, wodurch Unternehmen indirekt dazu angehalten werden auf HTTPS zu migrieren, falls dies noch nicht geschehe ist.
Ein SSL-Zertifikat kann Informationen schützen, wie die folgenden:
Es gibt verschiedene Arten von SSL-Zertifikaten mit verschiedenen Validierungsebenen. Die sechs Hauptarten sind folgende:
Mit Wildcard-SSL-Zertifikaten können eine Basisdomain und unbegrenzt viele Subdomains auf einem einzelnen Zertifikat gesichert werden. Wenn Sie mehrere Subdomains sichern möchten, ist der Kauf eines Wildcard-SSL-Zertifikats viel günstiger als der Kauf einzelner SSL-Zertifikate für jede Subdomain. Wildcard-SSL-Zertifikate haben im allgemeinen Namen ein Sternchen (*), welches für gültige Subdomains steht, die dieselbe Basisdomain haben. Beispielsweise kann ein einzelnes Wildcard-Zertifikat für *Webseite zur Sicherung von Folgendem dienen:
Mit einem Multi-Domain-SSL-Zertifikat können viele Domains und/oder Namen von Subdomains geschützt werden. Dies umfasst die Kombination von vollständig einzigartigen Domains sowie Subdomains mit verschiedenen TLDs (Top-Level Domains), mit Ausnahme von lokalen oder internationalen.
Beispiel:
Multi-Domain-Zertifikate unterstützen standardmäßige keine Subdomains. Wenn Sie www.Beispiel.com und Beispiel.com mit einem Multi-Domain-Zertifikat sichern wollen, sollten beide Hostnamen beim Erhalt des Zertifikats angegeben werden.
Unified-Communications-Zertifikate (UCC) sind ebenfalls Multi-Domain-SSL-Zertifikate. UCCs dienten ursprünglich dazu, Microsoft-Exchange- und Live-Communications-Server zu bestimmen. Heute kann jeder Eigentümer einer Webseite diese Zertifikate verwenden, um die Sicherung mehrerer Domain-Namen auf einem einzigen Zertifikat vorzunehmen. UCC-Zertifikate werden organisatorisch validiert und zeigen ein Vorhängeschloss im Browser an. UCCs können als EV-SSL-Zertifikate verwendet werden, um Besuchern von Webseiten durch die grüne Adresszeile höchstes Vertrauen zu geben.
Es ist wichtig, die verschiedenen Arten von SSL-Zertifikaten zu kennen, um das richtige Zertifikat für die eigene Webseite zu beantragen.
SSL-Zertifikate können direkt von der Zertifizierungsstelle erhalten werden. Zertifizierungsstellen – auch als Zertifikatsstellen bezeichnet – geben jedes Jahr Millionen von SSL-Zertifikaten aus. Sie spielen eine entscheidende Rolle für die Funktion des Internets sowie für transparente, vertrauenswürdige Interaktionen im Internet.
Die Kosten für ein SSL-Zertifikat reichen von null bis zu Hunderten von Dollar, je nach dem erforderlichen Sicherheitsniveau. Sobald Sie wissen, welche Zertifikatsart Sie benötigen, können Sie nach einem Zertifikatsaussteller suchen, der SSLs der von Ihnen benötigten Stufe anbietet.
Der Erhalt eines SSL-Zertifikats umfasst die folgenden Schritte:
Sobald Sie das Zertifikat erhalten haben, müssen Sie es auf Ihrem Web-Host oder – wenn Sie die Webseite selbst hosten – auf Ihren eigenen Servern konfigurieren.
Wie schnell Sie das Zertifikat erhalten, ist von der Art des Zertifikats und vom Zertifikatsaussteller abhängig. Mit jeder Validierungsstufe ist ein unterschiedlicher Zeitaufwand verbunden. Ein einfaches Domain-Validation-SSL-Zertifikat kann innerhalb von Minuten ab der Beantragung erteilt werden, während ein Extended-Validation-Zertifikat eine ganze Woche dauern kann.
Ein SSL-Zertifikat kann für mehrere Domains auf demselben Server verwendet werden. Je nach Anbieter können sie auch ein SSL-Zertifikat auf mehreren Servern verwenden. Der Grund dafür sind Multi-Domain-SSL-Zertifikate, die weiter oben behandelt wurden.
Wie der Name schon nahelegt, arbeiten Multi-Domain-SSL-Zertifikate mit mehreren Domains. Die Anzahl wird von der jeweiligen ausgebenden Zertifizierungsstelle festgelegt. Ein Multi-Domain-SSL-Zertifikat unterscheidet sich von einem Single-Domain-SSL-Zertifikat, das – wie der Name ebenfalls nahelegt – der Sicherung einer einzigen Domain dient.
Manchmal werden Multi-Domain-SSL-Zertifikate auch als SAN-Zertifikate bezeichnet, was zu Verwirrung führen kann. SAN steht für Subject Alternative Name. Jedes Multi-Domain-Zertifikat hat zusätzliche Felder (also SANs), die zur Aufführung zusätzlicher Domains verwendet werden können, die mit einem Zertifikat abgedeckt werden sollen.
Bei Unified-Communications-Zertifikaten (UCCs) und Wildcard-SSL-Zertifikaten sind ebenfalls mehrere Domains möglich, wobei bei letzteren die Zahl der Subdomains unbegrenzt ist.
SSL-Zertifikate laufen in der Tat ab; sie sind nicht unendlich lange gültig. Laut dem Certificate Authority/Browser Forum, das de facto als Regulierungsstelle für die SSL-Branche fungiert, sollte die Gültigkeitsdauer von SSL-Zertifikaten längstens bei 27 Monaten liegen. Das heißt im Grunde genommen, dass aus mehr als zwei Jahren bis zu drei Jahre werden können, wenn Sie mit einer Restzeit auf Ihrem vorherigen SSL-Zertifikat eine Erneuerung vornehmen.
SSL-Zertifikate laufen ab, da die Informationen, wie bei jeder Authentifizierung, regelmäßig erneut überprüft werden müssen, damit die Richtigkeit sichergestellt ist. Unternehmen und auch Webseiten werden oftmals gekauft oder verkauft. Somit ändern sich auch die Daten im Internet. Wenn die Eigentümer wechseln, müssen auch die für SSL-Zertifikate relevanten Informationen geändert werden. Mit dem Ablaufdatum wird sichergestellt, dass die für die Authentifizierung von Servern und Organisationen verwendeten Informationen so aktuell und richtig wie möglich sind.
Früher konnten SSL-Zertifikate für ganze fünf Jahre ausgestellt werden, daraufhin wurde dieser Zeitraum auf drei Jahre verkürzt und jüngst auf zwei Jahre plus einem etwaigen zusätzlichen Zeitraum von drei Monaten. Google, Apple und Mozilla kündigten 2020 an, SSL-Zertifikate über ein Jahr herauszugeben, obwohl das Certificate Authority Browser Forum diesem Vorschlag ablehnend gegenübersteht. Diese Regelung trat im September 2020 in Kraft. Möglicherweise wird der Gültigkeitszeitraum in Zukunft noch weiter verkürzt.
Wenn ein SSL-Zertifikat abläuft, kann die betreffende Seite nicht mehr aufgerufen werden. Wenn der Browser eines Nutzers auf einer Webseite ankommt, überprüft er die Gültigkeit des SSL-Zertifikats binnen Millisekunden (im Rahmen des SSL-Handschlags). Wenn das SSL-Zertifikat abgelaufen ist, erhalten die Besucher eine Mitteilung, wie „Diese Seite ist nicht sicher. Es besteht ein potenzielles Sicherheitsrisiko“.
Zwar haben die Nutzer die Möglichkeit fortzufahren, jedoch wird dies angesichts der Cybersicherheitsrisiken, wie möglicher Malware, nicht empfohlen. Dies hat wesentlichen Einfluss auf die Abbruchraten für die Eigentümer der Webseite, da die Nutzer die Homepage schnell verlassen.
Für größere Unternehmen kann es sich als schwierig herausstellen, ablaufende SSL-Zertifikate stets im Auge zu behalten. Während kleinere und mittlere Unternehmen nur ein oder wenige Zertifikate zu verwalten haben, liegt die Zahl bei großen Unternehmen mit einer Geschäftstätigkeit in verschiedenen Ländern und mehreren Webseiten sowie Netzwerken viel höher. Auf dieser Ebene ist der Ablauf eines SSL-Zertifikats üblicherweise auf mangelnde Übersicht und nicht auf Unvermögen zurückzuführen. Große Unternehmen behalten am besten den Überblick über ablaufende SSL-Zertifikate, wenn Sie mit einer Zertifikatsmanagementplattform arbeiten. Es gibt verschiedene Produkte auf dem Markt, die über die Online-Suche zu finden sind. Mit diesen können die Unternehmen ihre digitalen Zertifikate in der gesamten Infrastruktur sehen und verwalten. Wenn Sie eine dieser Plattformen verwenden, ist es wichtig, diese regelmäßig aufzurufen, um anstehende Erneuerungen sehen zu können.
Wenn Sie ein Zertifikat ablaufen lassen, wird das Zertifikat ungültig, sodass Sie keine sicheren Transaktionen mehr auf Ihrer Webseite durchführen können. Die Zertifizierungsstelle fordert Sie auf, Ihr SSL-Zertifikat vor dem Ablaufdatum zu erneuern.
Die von Ihnen gewählte Zertifizierungsstelle oder der von Ihnen gewählte SSL-Dienst für den Erhalt Ihrer SSL-Zertifikate sendet Ihnen in regelmäßigen Abständen Ablaufbenachrichtigungen – üblicherweise beginnend 90 Tage im Voraus. Lassen Sie diese Erinnerungen möglichst an eine E-Mail-Verteiler-Liste senden und nicht nur an eine einzige Person, die beim Versand der Erinnerung das Unternehmen möglicherweise bereits verlassen hat oder auf eine andere Stelle gewechselt ist. Überlegen Sie, welche Stakeholder in Ihrem Unternehmen auf dieser Verteilerliste geführt werden, damit die richtigen Personen die Erinnerungen zur rechten Zeit erhalten.
Am einfachen lässt sich über die Adresszeile in Ihrem Browser in Erfahrung bringen, ob für eine Seite ein SSL-Zertifikat existiert:
Geben Sie Ihre persönlichen Daten und Online-Zahlungsinformationen nur auf Webseiten mit EV- oder OV-Zertifikaten ein. DV-Zertifikate sind für E-Commerce-Webseiten nicht geeignet. Ob eine Seite über ein EV- oder OV-Zertifikat verfügt, sehen Sie anhand der Adressleiste. Bei einem EV-SSL-Zertifikat ist der Name der Organisation in der Adressleiste selbst zu sehen. Bei einem OV-SSL-Zertifikat können Informationen zum Namen der Organisation per Klick auf das Vorhängeschloss abgerufen werden. Bei einem DV-SSL-Zertifikat ist nur das Vorhängeschloss zu sehen.
Lesen Sie die Datenschutzrichtlinie der Webseite. Dort erfahren Sie, wie Ihre Daten verwendet werden. Seriöse Unternehmen geben transparent Auskunft darüber, wie sie Ihre Daten erfassen und wie sie diese verarbeiten.
Achten Sie bei Webseiten auf Anzeichen oder Hinweise, die Vertrauen signalisieren.
Genau wie SSL-Zertifikate, gehören dazu seriöse Logos und Kennzeichen, die verdeutlichen, dass die Webseite bestimmte Sicherheitsstandards erfüllt. Außerdem lässt sich möglicherweise feststellen, ob eine Webseite echt ist oder nicht, wenn eine physische Anschrift und eine Telefonnummer angegeben sind, wenn es eine Rückgabe- und Rückerstattungsrichtlinie gibt und wenn die Preise glaubwürdig sind und nicht zu gut um wahr zu sein.
Achten Sie auf Phishing-Fallen.
Manchmal ahmen Cyberkriminelle andere Webseiten nach, damit dort Käufe getätigt oder persönliche Daten eingegeben werden. Phishing-Seiten können ein SSL-Zertifikat erhalten und somit den gesamten Datenverkehr zwischen Ihnen und der Seite verschlüsseln. Phishing erfolgt immer öfter auf HTTPS-Seiten – Nutzer werden getäuscht, die sich aufgrund des vorhandenen Vorhängeschlosses sicher fühlen.
So lassen sich diese Angriffe verhindern:
Cybersicherheitsrisiken entwickeln sich immer weiter. Wer aber die verschiedenen Arten von SSL-Zertifikaten kennt und eine sichere Seite von einer potenziell gefährlichen Seite unterscheiden kann, ist in der Lage, Fallen zu vermeiden und die eigenen persönlichen Daten vor Cyberkriminellen zu schützen.
Ähnliche Artikel: