Was ist ein SSL-Zertifikat? Funktionen & Nutzen

Ein SSL-Zertifikat sorgt ähnlich wie ein Personalausweis mit Schutzfunktionen für die ordnungsgemäße Authentifizierung – allerdings (meist) nicht einer Person, sondern einer bestimmten Webseite bzw. Internetdomain. Was genau hat es mit den Sicherheitskonzepten der Transport-Layer-Security (TLS) und Secure-Sockets-Layer (SSL) und den Zertifikatmechanismen dahinter auf sich? Wozu dienen diese, welche verschiedenen Zertifikat-Typen gibt es und wie können Sie die Vertrauenswürdigkeit von Zertifizierungsstellen prüfen? Diese und weitere Fragen klären wir im Folgenden.

In der aktuellen Ära zunehmender digitaler Sicherheitsanforderungen sind SSL-Zertifikate gewissermaßen die Hüter der Identitäten im Internet. Hinter dem Kürzel SSL verbirgt sich eine Schlüsselkomponente, die den sicheren Datentransfer ermöglicht. Dieser Artikel bietet Ihnen einen Einblick in die Bedeutung von SSL-Zertifikaten, beleuchtet Funktionen und Vorteile und erklärt, wie die Zertifikate die gefürchteten Man-in-the-Middle-Attacken zur Datenspionage wirksam verhindern.

Was ist ein SSL-Zertifikat?

Die Abkürzung SSL steht für Secure-Sockets-Layer, was übersetzt etwa „sichere Verbindungsschicht“ bedeutet. SSL sorgt für die Sicherheit von Daten bei deren Transport durch das Internet.
Ein SSL-Zertifikat ist ein digitaler Datensatz, dessen Authentizität (Echtheit) und Integrität (Unverändertheit) durch kryptografische Verfahren überprüft werden können. Das Zertifikat bestätigt bestimmte Eigenschaften von Personen und Objekten. Außerdem verschlüsselt es den Transport von Daten, beispielsweise zwischen Ihrem Computer und einem Server. Solche Zertifikate werden von speziellen Unternehmen, Institutionen, öffentlichen Organisationen oder Regierungsstellen ausgestellt, beispielsweise der Bundesnetzagentur.
Die digitale Authentifizierung und die Verschlüsselungsfunktionen von SSL-Zertifikaten spielen eine entscheidende Rolle in der sicheren Kommunikation zwischen Clients und Servern. Darüber hinaus gewährleistet SSL die Integrität von Daten in weitverzweigten Netzwerken, die beispielsweise SD-WAN-Lösungen möglich machen.
Ursprünglich hat der Webbrowser-Anbieter Netscape SSL zum sicheren Surfen mit seinem Browser entwickelt. Inzwischen ist aus dem Secure-Sockets-Layer die Transport-Layer-Security geworden, also die „Transportschichtabsicherung“, abgekürzt TLS. Da der Begriff SSL aber geläufiger ist, wird er im gängigen Sprachgebrauch beibehalten. Häufig kommen auch beide Abkürzungen SSL/TLS in Kombination zum Einsatz.

Wie funktioniert ein SSL-Zertifikat?

Die Ausgangssituation ist folgende: Ihr Arbeitsplatz-Computer oder ein Tablet/Smartphone will mit einem Server kommunizieren, der beispielsweise eine Webseite hostet. Diese Kommunikation läuft in etwa wie ein Gespräch zwischen zwei zunächst Unbekannten: Zuerst stellt Ihr Webbrowser eine Anfrage an die Webseite, die sich daraufhin authentifiziert, also ihre Echtheit bestätigt. Das tut sie mit einem auf diese Website ausgestellten, offiziellen SSL-Zertifikat von einer Zertifizierungsstelle (Certificate-Authority, CA). Daraufhin authentifiziert Ihr Webbrowser Sie, bestätigt also Ihre Identität.
All das geschieht mithilfe sogenannter öffentlicher Schlüssel, die sowohl Sie (Ihr Browser) als auch die Website besitzen. Dieser Schritt wird auch als Handshake bezeichnet. Ist der Handshake mit den öffentlichen Schlüsseln abgeschlossen, folgt die Verschlüsselung der weiteren Kommunikation zwischen Webbrowser (Ihnen) und der besuchten Website. Hierzu kombinieren beide Parteien im Hintergrund ihren öffentlichen und ihren privaten Schlüssel zu einem gemeinsamen privaten Schlüssel, den nur diese beiden Parteien kennen. Er wird speziell für diese Verbindung erzeugt und nicht über das Internet übertragen. Dritte können ihn somit weder einsehen noch selbst erstellen.
Mithilfe dieses neuen, kombinierten Schlüssels wird dann die weitere Kommunikation zwischen Webbrowser und Webseite codiert. In der Folge sind die übermittelten Daten nur auf Ihrem Computer und auf dem Server der besuchten Website lesbar. Abhörangriffe auf den Datenverkehr laufen ins Leere, etwa sogenannte Man-in-the-Middle-Attacken.
Dieser Prozess heißt Diffie-Hellman-Schlüsselaustausch – und ist die Grundlage für eine sichere Kommunikation im Internet. Mit diesem Schritt wird aus einer normalen HTTP-Verbindung (Hyper-Text-Transfer-Protocol) eine sichere HTTPS-Verbindung (Hyper-Text-Transfer-Protocol Secure).

Welche Vorteile bringt der Schutz durch ein SSL-Zertifikat?

Ein SSL-Zertifikat bietet einen grundlegenden Schutz für die Übertragung von Daten im Internet. Für Webseitenbetreiber führt an einer umfassenden SSL-Integration kein Weg vorbei, denn sie ist Voraussetzung für eine Reihe von Dingen:
  • Aufrufbarkeit: Viele Internetbrowser sperren inzwischen (je nach gewählter Sicherheitsstufe) den Zugriff auf Webseiten ohne HTTPS-(SSL-)Integration. Somit gilt die Verwendung eines solchen Zertifikats heutzutage als Mindeststandard für seriöse Internetangebote.
  • Auffindbarkeit: Die Integration eines SSL-Zertifikats in Ihre Website wirkt sich positiv auf Ihre Platzierung in Suchmaschinen aus, insbesondere bei Google. Denn der Suchalgorithmus bevorzugt sichere Websites. Wenn die Voraussetzungen stimmen, trägt ein SSL-Zertifikat zu einer besseren Sichtbarkeit und Auffindbarkeit bei.[ML1] [JM2] Haben Sie kein SSL-Zertifikat, kann es passieren, dass Ihre Website gar nicht bei Google gelistet wird.
  • Stärkere Vernetzung: Auch bei der Vernetzung von Firmenstandorten spielen SSL-Zertifikate eine entscheidende Rolle. Sie erhöhen die Sicherheit bei der Übertragung sensibler Daten zwischen den Standorten.
Welche Stufen von SSL-Zertifikaten gibt es?

Domain-Validierung (Domain Validated, kurz: DV)

Mit einem DV-Zertifikat bestätigt die Zertifizierungsstelle, dass ein Webseitenbetreiber auch Inhaber der zugehörigen Domain ist. Ein DV-Zertifikat bietet die niedrigste der drei Vertrauensstufen und ist in erster Linie für kleinere Webseiten, Blogs, Foren und Mailserver gedacht. Ein Missbrauch durch Phishing-Seiten ist grundsätzlich möglich.

Organisations-Validierung (Organization Validated, kurz: OV)

Bei einem OV-Zertifikat prüft die Zertifizierungsstelle zusätzlich die Identität der Organisation, die die Webseite betreibt. Die Prüfung erfolgt unter anderem durch Einsicht in das Handelsregister und ein persönliches Gespräch.
Auf den ersten Blick kann ein:e User:in der Webseite nicht erkennen, ob ein DV- oder ein OV-Zertifikat vorliegt. Es ist jedoch möglich, das Zertifikat im Browser zu prüfen. Wie das funktioniert, ist weiter unten im Abschnitt „Wie prüfe ich ein SSL-Zertifikat?“ beschrieben. Ist bei Ihrer Website ein OV-Zertifikat hinterlegt, steigert das ggf. das Kundenvertrauen.
Das OV-Zertifikat eignet sich etwa für kleinere Webshops und Webseiten von Unternehmen. Es bietet einen höheren Schutz vor Phishing-Seiten. Ganz ausgeschlossen ist der Missbrauch aber nicht.

Erweiterte Validierung (Extended Validation, kurz: EV)

Den höchsten Vertrauenswert bietet das EV-Zertifikat. Hier prüft die Zertifizierungsstelle zusätzlich, ob der:die Antragsteller:in tatsächlich bei dem angegebenen Unternehmen angestellt und für die Antragstellung autorisiert ist. Diese Prüfung dauert am längsten und das EV-Zertifikat ist entsprechend teuer. Deshalb kommt es in der Regel nur für größere Webshops und Onlinebanken infrage.
Die individuelle Validierung (IV) ist eine spezielle Stufe der SSL-Zertifikate. Sie überprüft umfassend die Identität einer einzelnen Person, die als Betreff des Zertifikats aufgeführt ist. Diese spezielle Stufe bietet eine besonders gründliche Authentifizierung auf individueller Ebene und wird z. B. eingesetzt, um offizielle Dokumente zu schützen.

TLS und SSL im Vergleich: Unterschiede und Gemeinsamkeiten

TLS und SSL sind Protokolle, die die Sicherheit der Datenübertragung im Internet erhöhen. Beide verschlüsseln die Kommunikation zwischen einem Webbrowser und einem Server, um sensible Informationen zu schützen. Der Hauptunterschied liegt in der Evolution dieser Technologien: TLS hat SSL abgelöst, da das alte Protokoll als unsicherer galt. TLS ist die modernere und sicherere Variante, aber oft werden die Begriffe synonym verwendet.
TLS und SSL teilen viele grundlegende Funktionen. Beide nutzen asymmetrische und symmetrische Verschlüsselungstechniken, um eine sichere Verbindung herzustellen. Sie authentifizieren einen Server durch ein digitales Zertifikat, das das SSL/TLS-Protokoll verwendet. In der Praxis erhöht TLS die Sicherheit, da ältere SSL-Versionen Schwachstellen aufweisen können.

Kostenlos vs. kostenpflichtig: So treffen Sie die richtige Wahl

Beim Thema Cybersecurity sind sowohl kostenlose als auch kostenpflichtige SSL-Zertifikate gültige Optionen. Beide implementieren SSL beziehungsweise TLS für eine sichere Datenübertragung zwischen Webbrowser und Server. Die Unterschiede liegen in den Details, z. B. im Validierungslevel: Kostenlose Zertifikate, meist basierend auf Domain-Validierung, erfordern nur eine einfache Überprüfung des Webseitenbetreibers. Höhere Sicherheitsstufen sind kostenpflichtig.
Auch bei der Gültigkeit gibt es wichtige Unterschiede. Kostenpflichtige Zertifikate haben längere Laufzeiten (maximal 13 Monate), während Sie kostenlose Zertifikate in der Regel alle 90 Tage erneuern müssen. Ein weiteres Unterscheidungsmerkmal ist die Domain-Zugehörigkeit. Kostenlose Zertifikate gelten nur für eine Domain, während Sie kostenpflichtige auch domainübergreifend nutzen können.
Kostenpflichtige SSL-Zertifikate bieten zusätzlich diese Vorteile:
  • Support: Bei Problemen steht Nutzer:innen von kostenpflichtigen SSL-Zertifikaten individueller Support zur Verfügung.
  • Namensanzeige im Browser: Kostenpflichtige SSL-Zertifikate können Ihren Firmennamen in der Browserzeile anzeigen.
Ein EV-geprüftes, kostenpflichtiges SSL-Zertifikat ist ideal, aber nur für größere Unternehmen realistisch. Kleinere Projekte kommen mit kostengünstigeren Zertifikaten aus, während kostenlose SSL-Zertifikate für datenarmen Content eine gute Alternative darstellen. Bei kostenlosen Lösungen sollten Sie den im Vergleich größeren Verwaltungsaufwand bedenken.
Einen weiteren Anhaltspunkt für die richtige Zertifikatswahl bieten die unterschiedlichen Reichweiten von SSL-Zertifikaten. Dies sind die Varianten:
  • Single-Name: Deckt eine einzelne Domain ab, jedoch keine Subdomains.
  • Wildcard: Erweitert die Abdeckung auf alle Subdomains mit einem Platzhalter, z. B. *.example.com.
  • Multi-Domain: Umfasst bis zu 100 Domains mit einer einzigen Zertifikatsanfrage, ideal für umfangreiche Webprojekte.

Wie prüfe ich ein SSL-Zertifikat?

Ob und welches SSL-Zertifikat eine Webseite nutzt, können User:innen einsehen. In Chrome geht das z. B. wie folgt:
  1. Klicken Sie auf das Schieberegler-Symbol links neben der Adresszeile des Browsers („Website-Informationen anzeigen“). Ein Menü öffnet sich.
  2. Wählen Sie das Schlosssymbol (daneben steht im Idealfall „Verbindung ist sicher“).
  3. Klicken Sie ganz unten auf das Häkchen in einem Viereck (daneben steht im Idealfall „Zertifikat ist gültig“).
  4. Es öffnet sich ein Pop-up-Fenster mit dem „Zertifikats-Viewer“.
Mit ein paar Klicks lässt sich beispielsweise das SSL-Zertifikat der Webseite der Bundesregierung anzeigen.
Im abgebildeten Screenshot sehen Sie beispielsweise das SSL-Zertifikat der Webseite der Bundesregierung. Sie können unter anderem einsehen,
  • wer das Zertifikat wann ausgestellt hat,
  • wie es verschlüsselt ist,
  • wer es beantragt hat,
  • für welche DNS-Namen es gültig ist,
  • wie lange es gültig ist
  • und ob es sich um ein DV-, OV- oder EV-Zertifikat handelt.
Stellen Sie also bei all Ihren Webseiten sicher, dass Sie mindestens über gültige Zertifikate der niedrigsten Stufe verfügen, und aktualisieren Sie diese regelmäßig. Besuchen Sie außerdem keine Seiten, bei denen Sie unter „Website-Informationen anzeigen“ kein verriegeltes Vorhängeschloss sehen.
Die meisten aktuellen Websites sind inzwischen mit einem gültigen Zertifikat ausgestattet. Besuchen Sie dennoch eine Webseite, bei der das nicht der Fall ist, zeigen moderne Browser normalerweise einen entsprechenden Hinweis, z. B. „Fehlende HSTS-Unterstützung“. HSTS steht für HTTP Strict Transport-Security. Dabei handelt es sich um eine Web-Sicherheitsrichtlinie, die sicherstellt, dass Browser die Verbindung zu Websites stets über HTTPS herstellen.

So erkennen Sie eine gute Zertifizierungsstelle

Vertrauenswürdige Certificate-Authorities

Wenn Sie ein SSL-Zertifikat bestellen, ist es wichtig, dass Sie den Praktiken der ausgewählten Zertifizierungsstelle (Certificate-Authority, kurz: CA) vertrauen. Die CAs sollten die aktuellen Verschlüsselungsalgorithmen, Hashfunktionen und Schlüssellängen berücksichtigen. Ein Beispiel hierfür ist der Wechsel von SHA-1 zu SHA-2. Hierbei handelt es sich um zwei Versionen eines Verschlüsselungsalgorithmus, die sich in Aufbau und Bitlänge unterscheiden: SHA-2 ist eine verbesserte Version von SHA-1. Eine vertrauenswürdige CA ist hier immer auf dem neuesten Stand.
Seriöse Zertifizierungsstellen unterziehen sich außerdem regelmäßig Audits wie WebTrust oder ETSI, erkennbar durch das Logo auf ihrer Website. Die Mitgliedschaft im Certification Authority Browser Forum (CA/B Forum) ist ein weiterer Hinweis auf einen vertrauenswürdigen Anbieter.
Veröffentlicht die Zertifizierungsstelle Dokumente wie die Certificate-Policy (CP) und das Certificate-Practice-Statement (CPS), sind das zusätzliche Vertrauensfaktoren. Die CP beschreibt Rollen und Pflichten in einer Public-Key-Infrastructure (PKI), während das CPS Informationen über Zertifizierungspraktiken enthält. Beide ermöglichen Dritten die Analyse der Vertrauenswürdigkeit.

So funktionieren autorisierte Zertifizierungsstellen

Zertifizierungsstellen spielen eine entscheidende Rolle im Internet, indem sie jedes Jahr Millionen von digitalen Zertifikaten ausstellen. Diese Zertifikate sind verifizierbare Dateien mit Identitätsnachweisen, die die Onlineidentität von Websites, Personen und Geräten bestätigen. Sie dienen dazu, Informationen zu schützen, Transaktionen zu verschlüsseln und eine sichere Kommunikation zu gewährleisten.
Browser, Betriebssysteme und mobile Geräte betreiben autorisierte CA-Mitgliedschaftsprogramme, bei denen CAs bestimmte Kriterien erfüllen müssen. Nur dann können sie SSL-Zertifikate ausstellen, die von Browsern als vertrauenswürdig eingestuft werden. Die Anzahl autorisierter Zertifizierungsstellen ist klein, und ihre Vertrauenswürdigkeit steigt mit der Dauer ihres Betriebs.
Bevor sie ein Zertifikat ausstellt, führt die CA Identitätsprüfungen durch, abhängig von der Art des Zertifikats. Dabei überprüft die CA für Domain-Validated-Zertifikate lediglich die Domain-Eigentumsrechte, für Extended Validated SSL ganze Unternehmen.
Damit ein Browser einem SSL-Zertifikat vertraut, müssen drei Voraussetzungen erfüllt sein. Das Zertifikat muss:
  • den Domainnahmen der Website enthalten
  • von einer vertrauenswürdigen CA ausgestellt sein.
  • gültig sein
Im sogenannten Stammspeicher (eine Art Genehmigungsliste) von Browsern und Geräten sind sogenannte SSL-Hauptzertifikate von vertrauenswürdigen Zertifizierungsstellen hinterlegt. Die Zertifizierungsstellen verwenden diese Hauptzertifikate, um weitere Zertifikate auszustellen, die dann für Webseiten und andere Onlinedienste genutzt werden. Diese Vertrauenskette sorgt dafür, dass die Zertifikate gültig und sicher sind.

SSL und der Datenschutz: Das sollten Sie wissen

SSL-Verschlüsselung ist unverzichtbar, wenn auf Ihrer Website personenbezogene Daten übertragen werden wie Namen, Adressen oder Bankdaten. Dies gilt für sämtliche personenbezogene Formulare, sei es ein Kontaktformular oder ein Bestellformular in einem Onlineshop. Geschäftliche Webseiten mit solchen Formularen sind außerdem gesetzlich dazu verpflichtet, HTTPS zu verwenden, also eine abhörsichere Datenübertragung. So schreibt es die Datenschutz-Grundverordnung (DSGVO) vor.
Die DSGVO fordert konkrete organisatorische und technische Maßnahmen, um ein angemessenes Schutzniveau der übermittelten Daten zu gewährleisten. Die SSL-Verschlüsselung ist ein zentraler Bestandteil davon. Wichtig: Sie sollten die SSL-Verschlüsselung auch in der Datenschutzerklärung Ihrer Website hervorheben.

Anleitung: So erstellen, installieren und erneuern Sie Ihr SSL-Zertifikat

  1. Auswahl des SSL-Zertifikat-Typs: Entscheiden Sie, welches SSL-Zertifikat am besten zu Ihren Anforderungen passt: Domain Validated, Organization Validated oder Extended Validation.
  2. Zertifikat beantragen: Beantragen Sie das SSL-Zertifikat bei einer vertrauenswürdigen Zertifizierungsstelle (CA). Folgen Sie den Anweisungen der CA und stellen Sie sicher, dass Sie die notwendigen Unterlagen bereitstellen können.
  3. Identitätsüberprüfung: Die CA wird Ihre Identität prüfen, insbesondere bei OV- und EV-Zertifikaten. Dies kann Dokumente wie Handelsregistereinträge oder physische Adressnachweise umfassen.
  4. SSL-Zertifikat installieren: Nach Erhalt des Zertifikats installieren Sie es auf Ihrem Server. Die genauen Schritte variieren je nach Servertyp. Ihr Hosting-Anbieter oder Ihr:e Systemadministrator:in kann Ihnen dabei helfen.
  5. Serverkonfiguration aktualisieren: Aktualisieren Sie die Serverkonfiguration, um die SSL-Verschlüsselung zu aktivieren. Dies beinhaltet die Zuweisung des Zertifikats zu Ihrer Domain.
  6. SSL-Zertifikat erneuern: Überprüfen Sie regelmäßig die Laufzeit Ihres Zertifikats. Mindestens einmal im Jahr ist eine Erneuerung erforderlich. Die meisten CAs erinnern Sie rechtzeitig daran.
  7. Neues Zertifikat herunterladen und installieren: Bei Erneuerung laden Sie das neue Zertifikat von der CA-Website herunter und installieren es gemäß den Anweisungen.
  8. SSL-Verbindung testen: Nach Installation oder Erneuerung des Zertifikats testen Sie die SSL-Verbindung, um sicherzustellen, dass sie ordnungsgemäß funktioniert. Verwenden Sie Onlinetools oder -dienste wie SSL Labs oder Domsignal, um die SSL-Konfiguration zu überprüfen.

Das Wichtigste zum SSL-Zertifikat in Kürze

  • TLS/SSL sichert die Datenübertragung und verschlüsselt die Kommunikation im Internet. Vertrauenswürdige Organisationen stellen die digitalen Datensätze aus, die die Authentizität sowie Integrität von Webseiten bestätigen.
  • Das SSL-Zertifikat authentifiziert zunächst die Webseite. Die Verschlüsselung wird dann durch einen Diffie-Hellman-Schlüsselaustausch eingeleitet und anschließend speziell abgesichert.
  • Es gibt gute Gründe, SSL-Zertifikate für eine Website zu verwenden: die generelle Auffindbarkeit, erhöhtes Vertrauen der Kund:innen, mehr Potenzial für Conversions und Sicherheitsgewinn bei der Vernetzung von Firmenstandorten.
  • Es gibt drei SSL-Zertifikat-Typen: Domain Validated (DV), Organization Validated (OV) und Extended Validation (EV).
  • Sowohl kostenfreie als auch kostenpflichtige SSL-Zertifikate sichern die Datenübertragung. Sie unterscheiden sich im Validierungslevel, in der Gültigkeitsdauer und beim Support.
  • Die Details von SSL-Zertifikaten lassen sich über die Adressleiste des Browsers einsehen, dort sind Informationen wie Ablaufdatum und Zertifikatstyp hinterlegt.
  • Zertifizierungsstellen, die an Audits teilnehmen und Mitglied im CA/B-Forum sind, gelten als vertrauenswürdig.

Quelle:

https://www.vodafone.de/business/blog/ssl-zertifikat-98866/