SSL Zertifikate bietet einen hohen Sicherheitsstandard

Wissenswertes über SSL-Zertifikate

Ein SSL-Zertifikat gewährleistet eine verschlüsselte Verbindung zwischen dem Rechner des Nutzers und dem Server. Dabei wird kontrolliert, dass die zu übertragenden Daten auch bei jenem Server ankommen, für den das passende Zertifikat beantragt wurde. SSL-Zertifikate sind zur Authentifizierung vor allem für einen seriösen E-Commerce zwingend notwendig.

Ursprung der SSL-Zertifikate

Der SSL Standard wurde im Jahre 1996 für den damaligen Browser-Marktführer Netscape von der Netscape Corporation entwickelt. Der Konkurrent Microsoft entwickelte daraufhin einen eigenen Standard für den Internet Explorer, doch kurz darauf unterstützte Microsoft auch SSL für den Internet Explorer. SSL ist die Abkürzung von Secure-Sockets-Layer.

Funktionsprinzip der SSL-Zertifikate

Zur sicheren Übertragung von Daten werden verschiedene Schlüssel zur Ver- und zur Entschlüsselung eingesetzt. Eine Verschlüsselung ist eine unlesbare Kodierung, um potentiellen Eindringlingen keinen Einblick bei der Datentransferierung zu bieten. Der Schlüssel setzt sich aus einem Private Key und einem Public Key zusammen. Anhand des SSL-Zertifikats lässt sich der anvisierte Server mit dem öffentlichen Schlüssel (Public Key) authentifizieren. Sobald der Browser ein Zertifikat erhalten hat, prüft er, ob das Zertifikat noch gültig und vertrauenswürdig ist. Um das beurteilen zu können, muss im Browser das Wurzel-Zertifikat von der Zertifizierungsstelle verfügbar sein. War der Authentifizierungsprozess erfolgreich, wird vom Browser ein symmetrischer Schlüssel erzeugt, der via Public Key kodiert und an den Server geschickt wird. Die anschließende Entschlüsselung via Private Key kann nur durch den Server mit dem passenden Schlüssel vorgenommen werden.
Zur Verschlüsselung werden verschiedene Verfahren wie Triple-DES oder AES mit unterschiedlichen Schlüssellängen eingesetzt. Je länger ein Schlüssel, umso stärker und sicherer ist die Verschlüsselung.

Empfehlenswert sind Schlüssellängen mit 128- oder 256-Bit

Unterschiede der SSL-Zertifikate

Prinzipiell wird bei SSL-Zertifikaten zwischen domainvalidiert, inhabervalidiert und einer erweiterten Validierung differenziert, die sich für unterschiedliche Anwendungszwecke eignen.

  • Ein domainvalidiertes Zertifikat (DV-SSL) genügt beispielsweise für private Blogs oder Webmails.
  • Besitzt die Webseite einen Online-Shop empfiehlt sich zur Übertragung ein inhabervalidiertes SSL-Zertifikat (OV-SSL).
  • Werden große Geldsummen per Online-Shop transferiert wo Nutzer ihre Kontodaten übermitteln, ist ein SSL-Zertifikat mit erweiterter Validierung (EV) besonders wichtig.

Auch für Ärzte, Versicherungen, gerichtliche oder behördliche Institutionen, auf dessen Portalen vertrauliche Nutzerdaten übermittelt werden, ist ein EV-SSL-Zertifikat unverzichtbar.
Ferner unterscheidet man zwischen Wildcard SSL-Zertifikaten und Multidomain SSL-Zertifikaten. Während Wildcard SSL-Zertifikate für Sub-Domainadressen vergeben werden (www.domain.de/subdomain), sind Multidomain SSL-Zertifikate für mehrere Domains einsetzbar, wie beispielsweise für www.domainxy.de, www.domainxy.com, www.domainxy.ch oder www.domainxy.net.

Darstellung einer sicheren Verbindung

SSL ist eine Sicherheitskomponente für das HTTP-Protokoll. Wird es aktiviert, lässt sich eine Webseite mit SSL-Verschlüsselung an dem Präfix https:// erkennen. Wird eine grüne Adresszeile im Browser dargestellt, ist dies ein Indiz, dass die Webseite ein Zertifikat mit erweiterter Validierung (EV-SSL) einsetzt.

Die erweiterte Validierung wird zum Beispiel von Banken eingesetzt
Die erweiterte Validierung wird zum Beispiel von Banken eingesetzt

Für Nutzer sind diese Erkennungsmerkmale sehr wichtig, um nicht vertrauliche Daten beispielsweise auf einer unverschlüsselten Pishingseite einzugeben. Ein Nachteil ist, dass eine HTTPS-Verbindung, zusätzlich zu den anfallenden Kosten für das Zertifikat, mehr Rechenleistung vom Server abverlangt, als eine unverschlüsselte Verbindung.

Vertrauenswürdigkeit und Beantragung eines SSL-Zertifikats

  • Ein DV-Zertifikat wird meist schon für wenige Euros und teilweise sogar kostenlos angeboten.
  • Um ein EV-Zertifikat zu erhalten, sind mindestens um die hundert Euro, teilweise auch über 2000 Euro pro Jahr für den enormen Prüfaufwand fällig. Allerdings ist mit einem EV-Zertifikat auch die Vertrauenswürdigkeit am höchsten.

Deshalb darf mit einem Billigeinkauf eines Zertifikats keine ausreichende Sicherheit erwartet werden. Ein fehlerhaftes oder gefälschtes SSL-Zertifikat kann beim Nutzer ein Dialogfenster mit einer Warnmeldung öffnen, dass die Webseite als nicht vertrauenswürdig eingestuft wird. Ein anschließender Besucherschwund nebst drastischem Umsatzrückgang der zum finanziellen Aus auf der Webseite führen kann, sind dann die Folge.
Wer eines der SSL-Zertifikate erwerben möchte, sollte sich an eine der zahlreichen Zertifizierungsstellen wenden. Dort wird zunächst geprüft wer der Inhaber der Domain ist, sowie ob seine Daten korrekt und aktuell sind. In der Regel wird ein einfaches Zertifikat nach zwei bis drei Tagen ausgestellt, bei einem EV-SSL-Zertifikat kann die Beantragungsdauer der Zertifizierungsstelle auch bis zu zwei Wochen in Anspruch nehmen.

DNSSEC – die SSL-Alternative

Mittlerweile gibt es mehrere hundert Zertifizierungsstellen, die auch Certificate Authorities genannt werden und ein bedeutender Bestandteil der Sicherheit des Internets darstellen. Doch durch die Masse an Certificate Authorities (CA) besteht bei diesem Vertrauensmodell die Gefahr, dass sich auch unsichere Anbieter darunter befinden, die die Vertrauenswürdigkeit von SSL-Zertifikaten untergraben. Zu den namhaftesten Anbietern zählt Verisign, das für die Top-Level-Domain .com zuständig ist.
Als Alternative zu SSL, bietet sich zur Absicherung die Transportschicht DNS beziehungsweise DNSSEC an. Sie enthält nur eine einzige Wurzel auf dem Root-Level, und nicht wie bei den SSL- Zertifizierungsstellen eine ganze Menge. Um eine .com Adresse dann fälschen zu können, müsste sich ein Eindringling bei Verisign einhacken können.

PFS – Perfect Forward Secrecy

Der NSA-Skandal 2013 hat gezeigt, dass die als sicher geglaubte SSL-Authentifizierung, für einen verschlüsselten Datenverkehr nicht sicher genug ist. Um SSL-Zertifikate weiterhin zu nutzen, sollte für eine wirklich sichere Übertragung von personenspezifischen Daten, das zusätzliche Verschlüsselungsverfahren PFS – Perfect Forward Secrecy zusammen mit Diffie Hellman eingesetzt werden. Dieses Technologiegespann lässt keine nachträgliche Entschlüsselung der Kommunikation zu und ist deshalb sehr zu empfehlen. Wichtig ist zudem, dass als Verschlüsselungsverfahren die aktuelle SSL-Version 1.2 genutzt wird. Damit bleiben auch SSL-Zertifikate zukunftsfähig.