Was ist ein SSL-Zertifikat? – So funktioniert die digitale Authentifizierung

Mangelnde Datensicherheit kann beim Surfen im Internet ein großes Risiko sein. Insbesondere beim Einkaufen im Internet erwarten Kunden, dass ihre Daten, darunter Kreditkarten- und Bankverbindungsdetails, vor Abhöraktionen und anschließendem Missbrauch geschützt sind. Das gilt sowohl für offizielle Websites von Anbietern und deren Umgang mit sensiblen Daten, als auch beim Schutz vor sogenannten Phishing-Seiten. Hierbei handelt es sich um gefälschte Webseiten, die den Originalen täuschend ähnlich sehen. Ahnungslose Kunden fallen allzu oft auf derartigen Betrug herein und geben sensible Daten an, die später Kriminelle für ihre Zwecke nutzen. Ein gültiges SSL-Zertifikat sorgt hier für Vertrauen und deutlich mehr Datensicherheit.

Vertreiben Sie Ihre Produkte und Dienstleistungen über eine oder mehrere Webseiten, sollten Sie idealerweise für Vertrauen bei Ihrer Kundschaft sorgen. Das schaffen Sie am einfachsten mit sogenannten SSL-Zertifikaten. Mit deren Hilfe verschlüsseln Sie die komplette Kommunikation zwischen Ihrer Webseite und dem Browser Ihres Kunden. Zusätzlich bestätigt das SSL-Zertifikat auch Ihre Identität. Wie SSL-Zertifikate funktionieren, wo Sie ein solches herbekommen und wie Sie die Sicherheit auf beliebigen Webseiten einschätzen können, erklären wir Ihnen hier.

 

Was ist ein SSL-Zertifikat?

SSL steht für „Secure Sockets Layer“, was übersetzt etwa „Sichere Verbindungsschicht“ bedeutet und für Datensicherheit bei deren Transport durch das Internet sorgt.

Bei einem SSL-Zertifikat handelt es sich um einen digitalen Datensatz, dessen Authentizität (Echtheit) und Integrität (Unverändertheit) durch kryptografische Verfahren überprüft werden können. Das Zertifikat bestätigt mit Hilfe vertrauenswürdiger Stellen bestimmte Eigenschaften von Personen und Objekten. Außerdem verschlüsselt es die Kommunikation von Daten, beispielsweise zwischen Ihrem Computer und einem Server. Solche Zertifikate werden von speziellen Unternehmen, Institutionen, öffentlichen Organisationen oder Regierungsstellen ausgestellt, beispielsweise der Bundesnetzagentur.

Ursprünglich hat der Webbrowser-Anbieter Netscape SSL zum sicheren Surfen mit seinem Browser entwickelt. Inzwischen wurde aus dem Secure-Socket-Layer die „Transport Layer Security“, also die „Transportschichtabsicherung“, abgekürzt TLS. Da der Begriff SSL aber geläufiger ist, wurde dieser im gängigen Sprachgebrauch beibehalten. Häufig kommen auch beide Abkürzungen SSL/TLS in Kombination miteinander zum Einsatz.

Wie funktioniert ein SSL-Zertifikat?

Die Kommunikation zwischen Ihrem Computer und einem Server, der beispielsweise eine Webseite hostet, läuft in etwa wie ein Gespräch zwischen zwei zunächst Unbekannten: Zuerst stellt Ihr Webbrowser eine Anfrage an die Webseite, die sich daraufhin „authentifiziert”, also ihre Echtheit bestätigt. Das tut sie mit einem auf sie ausgestellten, offiziellen SSL-Zertifikat. Im Anschluss gibt es zwei Möglichkeiten: Entweder antwortet Ihr Webbrowser, in dem er der Webseite eine mit deren öffentlichem Schlüssel erstellte und verschlüsselte Zufallszahl zurücksendet. Oder Ihr Webbrowser und die Webseite erstellen mit Hilfe des sogenannten Diffie-Hellman-Schlüsselaustausch-Verfahrens einen „gemeinsamen Schlüssel”. Mithilfe dieser Schlüssel wird dann die weitere Kommunikation zwischen Webbrowser und Webseite codiert. In der Folge sind die übermittelten Daten nur auf Ihrem Computer und auf der besuchten Website lesbar. Etwaige Abhörangriffe bezüglich des Datenverkehrs (sogenannte „Man in the Middle”-Attacken) laufen ins Leere.

Welche SSL-Zertifikate gibt es?

Es gibt insgesamt drei Arten von SSL-Zertifikaten:

Domain-Validierung („Domain Validation”, „DV”)

Mit einem DV-Zertifikat bestätigt die Zertifizierungsstelle, dass der Webseitenbetreiber auch der Inhaber der zugehörigen Domain ist. Ein DV-Zertifikat bietet die niedrigste der drei Vertrauensstufen und ist in erster Linie für kleinere Webseiten, Blogs, Foren und Mailserver gedacht. Ein Missbrauch durch Phishing-Seiten ist grundsätzlich möglich.

Organisations-Validierung („Organisation Validation”, „OV”)

Bei einem OV-Zertifikat prüft die Zertifizierungsstelle zusätzlich die Identität der Organisation, die die Webseite betreibt. Die Prüfung erfolgt unter anderem durch Einsicht in das Handelsregister und ein persönliches Gespräch. Auf den ersten Blick kann der User der Webseite nicht erkennen, ob es sich um ein DV- oder ein OV-Zertifikat handelt. Dennoch ist die Vertrauensstufe höher. Das OV-Zertifikat eignet sich etwa für kleinere Webshops und Webseiten von Unternehmen. Es bietet einen höheren Schutz vor Phishing-Seiten. Ganz ausgeschlossen ist der Missbrauch aber nicht.

Erweiterte Validierung („Extended Validation”, EV)

Den höchsten Vertrauenswert bietet das EV-Zertifikat. Hier prüft die Zertifizierungsstelle zusätzlich, ob der Antragsteller auch tatsächlich bei dem angegebenen Unternehmen angestellt und für die Antragstellung autorisiert ist. Dafür dauert die Prüfung am längsten und das EV-Zertifikat ist entsprechend teuer. Deshalb kommt es in der Regel nur für größere Webshops und Online-Banken in Frage.

Wie kann ich für meine Webseite ein SSL-Zertifikat beantragen?

Dazu wenden Sie sich am einfachsten an einen der bekannten Zertifizierungsanbieter wie Strato oder GlobalSign. Alternativ können Sie sich auch an einen von der EU-Kommission qualifizierten, sogenannten Vertrauensdiensteanbieter wenden.

Woran kann ich erkennen, welches SSL-Zertifikat die Webseite nutzt?

Ob und wenn ja, welches SSL-Zertifikat eine Webseite nutzt, können Sie an dem kleinen Schloss-Icon links in der Adresszeile des Browsers neben der URL erkennen. Ist es verschlossen, ist die Webseite verschlüsselt. Wenn Sie auf das Schloss klicken, öffnet sich ein Popup-Fenster – je nach Browser können Sie hier schon weitere Informationen sehen oder müssen sich noch etwas weiter durchklicken. Unter „Zertifikat anzeigen | Details“ bekommen Sie beispielsweise in Google Chrome das komplette SSL-Zertifikat zu sehen.

Im abgebildeten Screenshot sehen Sie beispielsweise das SSL-Zertifikat der Webseite der Bundesregierung. Sie können unter anderem sehen,

  • wer das Zertifikat wann ausgestellt hat,
  • wie es verschlüsselt ist,
  • wer es beantragt hat,
  • für welche DNS-Namen es gültig ist,
  • wie lange es gültig ist
  • und ob es sich um ein DV-, OV- oder EV-Zertifikat handelt.

Stellen Sie also bei all Ihren Webseiten-Vorhaben sicher, dass Sie über gültige Zertifikate mindestens der niedrigsten Stufe verfügen und aktualisieren Sie diese regelmäßig. Besuchen Sie außerdem keine Seiten, bei denen Sie links neben der URL nach dem Aufruf kein verriegeltes Vorhängeschloss sehen.

Die meisten aktuellen Websites sind inzwischen mit einem gültigen Zertifikat ausgestattet. Besuchen Sie dennoch eine Webseite, bei der das nicht der Fall ist, wird Ihnen in modernen Browsern inzwischen normalerweise eine Fehlermeldung („Fehlende HSTS-Unterstützung” oder ähnliches) angezeigt.

Quelle:

https://www.vodafone.de/business/featured/digitales-business/digitale-kundenbeziehungen/ssl-zertifikat-so-funktioniert-die-digitale-authentifizierung/