SSL-Zertifikat

Das Internet ist für viele Menschen ein wunderbarer Ort: frei verfügbare Informationen, globale Kommunikation, unbegrenzter Wissensaustausch. Doch nicht alle User im World Wide Web haben gute Absichten: Immer wieder lassen sich Kriminelle neue Methoden einfallen, wie sie anderen sensible Daten abgreifen können – beispielsweise E-Mail- oder Onlinebanking-Passwörter. Zu diesem Zweck setzen sie beispielsweise betrügerische Websites auf, die denen seriöser Unternehmen gleichen. Arglose Nutzern fallen auf diese Masche oft herein – und schon haben sie private Daten unbeabsichtigt an Kriminelle weitergegeben. Aber auch eigentlich harmlose Seiten können von Kriminellen missbraucht werden: Ist die Übertragung zwischen Ihnen und dem Server des Website-Betreibers nicht ausreichend gesichert, können Dritte den Datenstrom abgreifen.

Um die Daten der Internetnutzer vor solchen kriminellen Machenschaften zu schützen, hat man standardisierte SSL-Zertifikate etabliert. Damit versichert eine Website gegenüber dem Nutzer (oder genauer: gegenüber dem entsprechenden Browser): Ihre Daten sind bei uns sicher!

Inzwischen arbeiten Zertifikate nicht mehr mit dem veralteten SSL, sondern setzen auf das neuere und sicherere TLS (Transport Layer Security). In der Praxis wird meist allerdings immer noch von SSL-Zertifikaten gesprochen, wenn es um eine Absicherung von Website und Server mit der Verschlüsslungstechnik geht. Das Zertifikat an sich ist dabei ein simpler Datensatz: In einer Datei sind zahlreiche Informationen enthalten – wie zum Beispiel der Name des Ausstellers, die Seriennummer oder auch der sogenannte Fingerabdruck für die Verschlüsselung. Zertifikate gibt es in verschiedenen Dateiformaten. Möchte der Website-Betreiber ein bestimmtes Zertifikat nutzen, muss er es auf dem Server installieren.

Um ein Zertifikat zu erhalten, müssen sich Website-Betreiber an eine Zertifizierungsstelle wenden. Diese Organisationen sind zur Ausstellung eines SSL-Zertifikats berechtigt, verlangen für ihren Dienst allerdings meist Gebühren. Doch warum kann nicht einfach jeder seine eigene Organisation gründen? Der Grund ist folgender: Die Hersteller von Browsern – wie beispielsweise Microsoft, Mozilla oder Google – müssen die Zertifikate auch akzeptieren, ansonsten hat das entsprechende Zertifikat nicht den geringsten Nutzen. Das musste auch das Softwarehaus Symantec feststellen: Nachdem Google dem Softwarehersteller das Vertrauen entzogen hat, werden dessen Zertifikate nun nicht mehr von Chrome unterstützt. Nutzer des Google-Browsers erhalten infolgedessen kein Verschlüsslungssymbol mehr, das auf eine sichere Datenübertragung hinweist, wenn sie auf einer Website surfen, die ein Symantec-Zertifikat verwendet.

Ein von den Browsern akzeptiertes Zertifikat ist nicht für immer gültig. Jedes SSL-Zertifikat ist vielmehr mit einem Ablaufdatum zwischen 3 und 24 Monaten versehen. Wenn das erreicht ist, muss der Website-Betreiber das Zertifikat erneuern lassen, ansonsten werden die entsprechenden Seiten nicht mehr als besonders sicher ausgewiesen. Auch wenn die regelmäßige Erneuerung der Zertifikate für Betreiber von Websites sowohl zeitraubend als auch kostspielig sein kann, ist es dennoch notwendig. Denn nur wenn Authentifizierungsstellen regelmäßig die Integrität, Identität und die verwendeten Verschlüsselungsmechanismen überprüfen, lässt sich die Sicherheit der Nutzer gewährleisten.

Es gibt mehrere Möglichkeiten, wie man Datentransfers verschlüsseln kann. Klassischerweise benötigt man einen Schlüssel, um etwas zu verschlüsseln, und den exakt gleichen Schlüssel, um die Nachricht wieder lesbar zu machen. Diese Methode ist im Internet aber nicht sinnvoll, denn Nutzer nehmen dort häufig Kontakt zu Personen oder Organisationen auf, mit denen sie außerhalb des Internet niemals zuvor kommuniziert haben. Es gibt folglich keine Möglichkeit, einen Schlüssel zu übergeben, ohne diesen zunächst unverschlüsselt über das öffentlich zugängliche Medium zu senden. Daher nutzen SSL-Zertifikate ein anderes Verfahren.

Bei einer Public-Key-Infrastruktur erstellt man nicht nur einen Schlüssel, sondern stattdessen zwei: einen komplett öffentlichen und einen privaten. Eine Nachricht verschlüsselt man mit dem öffentlichen Schlüssel – dem Public Key – und kann diese nur mit dem Private Key wieder dechiffrieren. Der öffentliche Schlüssel ist es dann, den der Browser über das Zertifikat erhält und zum Verschlüsseln verwendet. Zur Codierung der Informationen gibt es unterschiedliche Verfahren. Auch diesbezüglich liefert der Webserver dem Browser über das Zertifikat die notwendigen Infos.

Eine derzeit häufig verwendete Methode zur Codierung ist zum Beispiel AES (Advanced Encryption Standard) mit der kryptologischen Hashfunktion SHA256. Da sowohl Kriminelle als auch Krypto-Experten allerdings stetig damit beschäftigt sind, die Schwachstellen von Verschlüsselungsmechanismen aufzuspüren, ändern sich die Standards regelmäßig. Eine Methode, die letztes Jahr noch als unfehlbar galt, kann schon morgen geknackt werden und fortan als unsicher gelten.

Es gibt mehrere Arten von SSL-Zertifikaten. Obwohl es verschiedene Aussteller mit unterschiedlichsten Verifizierungsmechanismen gibt, sind diese Faktoren nicht die ausschlaggebenden Kriterien. Vielmehr unterscheidet man SSL-Zertifikate unter anderem danach, wie gründlich die Überprüfung des Antragstellers abläuft und wie groß die Reichweite der Zertifikate ist.

Man unterscheidet drei Arten von Überprüfung. Diese unterscheiden sich nicht nur hinsichtlich der Bearbeitungszeit, sondern auch hinsichtlich der damit zusammenhängenden Kosten. Während SSL-Zertifikate der Kategorie Domain Validation inzwischen kostenlos zu haben sind, können Privatpersonen und kleinere Unternehmen die Kosten für eine Extended Validation nur in den seltensten Fällen stemmen.

Die Domain Validation bildet die unterste Stufe der SSL-Zertifikate: Die Überprüfung des Personals hinter der Website-Adresse läuft entsprechend oberflächlich ab. Oftmals versendet die Authentifizierungsstelle lediglich eine E-Mail an die im WHOIS-Eintrag angegebene E-Mail-Adresse. Der Antragsteller wird darin zum Beispiel aufgefordert, einen DNS-Eintrag zu verändern oder eine bestimmte Datei auf seinen Server zu laden, um so die Kontrolle über die Domain zu signalisieren.

Der Überprüfungsvorgang kann vollständig automatisiert ablaufen und wird deshalb von vielen nicht als sicher angesehen. Manche Browser markieren daher ein DV-SSL-Zertifikat gesondert, um auf die im Vergleich zu anderen Zertifikaten geringeren Sicherheitsstandards hinzuweisen. Bei dieser Form von Zertifikat erhalten Sie zudem keine weiteren Informationen zum Besitzer der Website.

OV-SSL-Zertifikate sind eine Stufe höher anzusiedeln, was die Sicherheit der Besucher betrifft. Die Zertifizierungsstelle fordert im Rahmen der Validation Unterlagen vom Besitzer der Website an – meist nachdem der automatisierte Ablauf der Domain Validation erfolgt ist. Welche Dokumente konkret benötigt werden, ist von der Ausstellungsorganisation abhängig – häufig wird beispielsweise nach einem Handelsregisterauszug gefragt. Außerdem nehmen einige Authentifizierungsstellen zusätzlich telefonisch Kontakt zum Betreiber der Website auf. OV-SSL-Zertifikate liefern somit Internetnutzern mehr Sicherheit, da im Vorfeld stärker überwacht wurde, wer tatsächlich hinter der Website steckt. Zudem bieten sie den Vorteil, diese Information auch im Zertifikat selbst für jeden Nutzer einsehbar zu halten.

SSL-Zertifikate, die unter dem Label Extended Validation angeboten werden, bilden die höchste Sicherheitsstufe. Bei dieser Art von Zertifikaten werden sowohl die Domain und die damit in Verbindung stehende Organisation überprüft als auch der Antragsteller selbst. Man kontrolliert also auch, ob der Antragsteller tatsächlich bei der angegebenen Organisation oder dem angegebenen Unternehmen arbeitet und ob er dazu berechtigt ist, ein solches Zertifikat anzufordern. Darüber hinaus muss auch die Zertifizierungsstelle dazu bevollmächtigt sein, Extended Validation durchzuführen. Um autorisiert zu werden, muss die Stelle einer Überprüfung durch das CA/Browser-Forum standhalten. Dabei handelt es sich um einen freiwilligen Zusammenschluss von Zertifizierungsstellen und Browser-Herstellern.

Ein nicht unwesentlicher Punkt für die Kategorisierung und Auswahl eines SSL-Zertifikats sind die Kosten, die mit dem Erwerb verknüpft sind. Bezieht man diesen Aspekt direkt auf die drei voranstehenden Überprüfungstypen, lässt sich dabei grob festhalten: Je ausgeprägter der Zertifizierungscheck ist, desto mehr muss für das Zertifikat am Ende gezahlt werden. Seit 2015 gibt es mit Let’s Encrypt sogar eine Zertifizierungsstelle, die Zertifikate gänzlich kostenfrei ausstellt.

Geht es um die reine Absicherung der Website, sodass diese nicht über gewöhnliches HTTP, sondern über HTTPS abgerufen werden kann, erfüllt ein kostenfreies Zertifikat die Anforderungen ebenso gut wie ein kostenpflichtiges. Beide Lösungen implementieren das Übertragungsprotokoll SSL bzw. TLS und machen den sicheren Datentransfer so für Clients und Server verbindlich.

In einigen Punkten unterscheiden sich kostenfreie und kostenpflichtige Zertifikate aber entscheidend voneinander:

• Validation-Level: Bei der Ausstellung eines Zertifikats ist die Prüfung des Website-Betreibers nicht sehr umfangreich – die Domain Validation ist hier das typische Kontroll-Level. Zertifikate mit einer höheren Sicherheitsstufe sind immer kostenpflichtig.
• Gültigkeit: Die meisten kostenpflichtigen Zertifikate sind ein bis zwei Jahre lang gültig. Freie Zertifikate laufen hingegen nach spätestens 90 Tagen ab. Wer auf Free SSL/TLS setzt, muss das Zertifikat also wesentlich häufiger austauschen.
• Domain-Zugehörigkeit: Ein kostenloses SSL-Zertifikat lässt sich immer ausschließlich für eine einzelne Domain erzeugen, an die es dann gebunden ist. Paid-SSL/TLS-Lösungen lassen auch domainübergreifende Zertifikate zu, die für mehrere Websites eingesetzt werden können.

Paid SSL bietet verschiedenste Vorteile gegenüber der kostenfreien Alternative, wobei entscheidende Punkte auch bereits im voranstehenden Abschnitt angedeutet wurden: Die bezahlten Zertifikate sind länger gültig und – je nach Anbieter und Paket – auch für mehrere Domains einsetzbar. Das erhöht nicht nur die Flexibilität, sondern erfordert vom Website-Betreiber auch wesentlich weniger Aufwand. Im Problemfall stehen die jeweiligen Provider bzw. Zertifizierungsstellen standardmäßig außerdem mit individuellem Support zur Seite – ein Luxus auf den Nutzer eines Free-SSL-Zertifikats verzichten müssen.

Ein weiterer Vorteil kostenpflichtiger SSL-Zertifikate besteht darin, dass häufig nicht nur der Hinweis auf aktives HTTPS, sondern auch der eigene Firmenname in der Browserzeile präsentiert werden kann – sofern Sie den passenden Anbieter und das passende Paket wählen.

Ein kostenpflichtiges SSL-Zertifikat, das EV-geprüft ist, stellt ohne Zweifel die optimale Verschlüsselungslösung für das eigene Webprojekt dar. Leisten können sich diese Art der Zertifizierung allerdings nur größere Unternehmen, die in diesem Fall auch die Zielgruppe darstellen. Kostengünstigere Zertifikate sind für Webprojekte im KMU-Sektor aber prinzipiell ausreichend, solange keine hochsensiblen Daten wie beim Onlinebanking übertragen werden. Für kleinere Projekte, bei denen die Weitergabe persönlicher Daten keine bzw. nur eine geringe Rolle spielt, stellen Free-SSL-Zertifikate eine gute Alternative zu den kostenpflichtigen Angeboten dar. Der größere Verwaltungsaufwand sollte dabei aber von Anfang an bedacht werden.

Wenn man ein SSL-Zertifikat beantragt, sollte man darauf achten, wie weit dieses reicht – also auch darauf, ob zum Beispiel Subdomains unter das Zertifikat fallen.

Ein normales Zertifikat gilt nur für eine einzelne Domain. Das bedeutet, dass www.example.com und alle Unterseiten dieser Website von dem SSL-Zertifikat abgedeckt werden, allerdings keine Subdomains. Sollen diese ebenfalls abgedeckt werden, müssen Sie entweder ein weiteres Zertifikat beantragen oder ein Wildcard-Zertifikat erstehen.

Diese Zertifikate heißen so, weil sie mit einer Wildcard (englisch für Platzhalter) arbeiten. Statt beispielsweise nur www.example.com zu erfassen, gelten diese SSL-Zertifikate zusätzlich für alle Subdomains – also auch für mail.example.com oder blog.example.com. Sie werden in der Form ausgestellt: *.example.com. Das Sternchen symbolisiert dabei die Wildcard.

Multi-Domain-Zertifikate (auch SAN-Zertifikate genannt) gehen über die Reichweite von Single-Name- oder Wildcard-Zertifikaten weit hinaus. So bieten viele Zertifizierungsstellen ihren Kunden Zertifikate an, die bis zu 100 Domains umfassen. So können Antragsteller mit nur einem Zertifikat beispielsweise sowohl www.example.com als auch www.example.org absichern. Möglich ist dies über eine Subject-Alternative-Name-Extension – einem zusätzlichen Feld im Zertifikat, das alle weiteren Domains enthält.

Hat die Internetseite, auf der Sie sich befinden, kein gültiges SSL-Zertifikat, sehen Sie weder ein (grünes) Schloss noch das https:// in der Adresszeile. Zusätzlich warnen manche Browser, wenn Nutzer auf solchen Websites versuchen, Passwörter oder andere sensible Daten an den Server zu übermitteln. Das Programm weist sie dann darauf hin, dass die Daten von Unbekannten abgefangen werden könnten.