Manchmal bewirkt Googles Marktmacht auch etwas Gutes. Die Entscheidung für HTTPS als Rankingfaktor und die Ankündigung  im Dezember 2015, die HTTPS-Variante einer Website bevorzugt zu indexieren, zeigen Wirkung. So waren letztes Jahr bereits mehr als die Hälfte der Top-10 Google Treffer HTTPS-Seiten. Seit der Chrome-Browser und inzwischen auch Firefox warnen, wenn Webseiten mit Dateneingabe, aber ohne SSL-Verschlüsselung aufgerufen werden, nimmt die Nachfrage nach SSL-Zertifikaten weiter zu.

Gut möglich, dass die Nachfrage auch durch die neue Europäische Datenschutzverordnung (DSGVO) weiter angekurbelt wird. Schon jetzt sind Unternehmen verpflichtet, die Integrität und Vertraulichkeit personenbezogener Daten bei der Übertragung und Verarbeitung mit geeigneten Maßnahmen (z.B. durch Verschlüsselung) zu gewährleisten. Mit der DSGVO ändert sich nichts an der Rechtslage, aber sie wird schon allein wegen der verschärften Sanktionen nachdrücklicher ins Bewusstsein gerückt.

Für Unternehmen, die im Web mit Kontakt-, Anmelde- oder Bestellformularen personenbezogene Daten erfassen, stellt sich nicht mehr die Frage, ob sie auf HTTPS umstellen sollen, sondern nur noch wie. Aus Datenschutzgründen müsste nicht die ganze Website verschlüsselt werden, sondern nur der Teil, der Personendaten erfasst. Andererseits erhöhen SSL-Zertifikate die Vertrauenswürdigkeit der Webseite, wenn auch nicht alle gleichermaßen. Bei der Vielzahl der angebotenen Zertifikate ist es nicht einfach, den Überblick zu behalten.

Was ist ein SSL-Zertifikat?

SSL steht für Secure Sockets Layer und ist ein Kommunikationsprotokoll mit dem Daten im Internet verschlüsselt übertragen werden können. SSL wird vor allem in Verbindung mit http eingesetzt (das dadurch zu https wird) und verschlüsselt die Daten, die zwischen dem Browser des Anwenders und dem Server einer Webseite ausgetauscht werden. SSL-Verschlüsselung wird aber auch für andere Internetverbindungen genutzt, wie E-Mail oder FTP. Korrekterweise müssten wir von TLS, also Transport Layer Security sprechen. Das ist die Weiterentwicklung von SSL, die nach der Version 3.0 in TLS 1.0 umbenannt wurde. Da der Mensch aber nun mal ein Gewohnheitstier ist, spricht er weiterhin meist von SSL.

Damit es überhaupt zu einer verschlüsselten Datenverbindung kommt, muss erst einmal Vertrauen aufgebaut werden. Zu diesem Zweck wird das Zertifikat von einer unabhängigen Zertifizierungsstelle signiert, nachdem sie die Authentizität der Domain und im besten Falle auch ihres Inhabers überprüft hat. Die Zertifizierungsstelle bürgt damit für die Richtigkeit der Informationen.

Welche SSL/TLS-Zertifikate gibt es?

SSL-Zertifikate werden von einer Vielzahl von Zertifizierungsstellen angeboten und unterscheiden sich insbesondere im Gültigkeitsbereich, in der Laufzeit und im Aufwand für die Authentifizierung.

1. Unterschiede im Grad der Überprüfung

Domain-Validierung (DV)

Für ein Domain-validiertes Zertifikat überprüft die Zertifizierungsstelle lediglich die Domain und ob der Auftraggeber Nutzungsrechte für die Domain hat. Dies ist eine technische Überprüfung bei der meistens eine E-Mail an den administrativen Kontakt der Domain geschickt wird. Die Prüfung wird von der Zertifizierungsinstanz voll automatisiert durchgeführt und dauert oft nur wenige Minuten.

Validierung der Organisation (OV)

Für ein organisationsvalidiertes Zertifikat wird zusätzlich zur Domain auch der Inhaber authentifiziert. Bei Unternehmen erfolgt die Identitätsprüfung anhand des Handelsregisterauszuges oder Gewerbescheins. Zusätzlich können auch weitere Informationen wie Bankdaten und Telefonnummer überprüft werden. Bei Webseiten mit diesem Zertifikatstyp kann man sich mit einem Klick auf das Schlosssymbol in der Adressleiste den Inhaber der Domain anzeigen lassen.

Erweiterte Validierung (EV)

Zusätzlich zur Organisationsvalidierung überprüft die Zertifizierungsstelle, ob der Antragsteller auch über die Befugnis verfügt, das gewünschte Zertifikat zu erwerben. Die umfangreiche Authentifizierung von Domain und Inhaber erhöht die Vertrauenswürdigkeit der Verbindung, was auch optisch sichtbar gemacht wird. Webseiten mit einem SSL-Zertifikat mit erweiterter Validierung unterscheiden sich durch eine grüne Adresszeile im Browser mit dem Namen des Unternehmens, das als Inhaber zertifiziert wurde.

Alle drei Validierungen ändern nichts an der Qualität der Verschlüsselung der übertragenen Daten, allerdings ist der Vertrauens-Effekt einer grünen Adresszeile mit dem Firmennamen besonders hoch.

2. Unterschiede in der Gültigkeit der SSL-Zertifikate

Einzelzertifikate

Einzelzertifikate sind nur für eine einzelnen Hostnamen (z.B. www.domain.de) gültig.

Wildcard-Zertifikate

Sollen auch Webseiten SSL-zertifiziert werden, die unter verschiedenen Sub-Domains der eigentlichen Hauptdomain erreichbar sind, kann man für jede Sub-Domain ein Einzelzertifikat kaufen oder gleich ein Wildcard-Zertifikat erwerben. Dieses ist dann nicht nur für domain.de gültig, sondern auch für alle Subdomains auf genau einer Ebene (*.domain.de) wie shop.domain.de, blog.domain.de usw. Aufpassen muss man mit weiteren Subdomains: ein Zertifikat für *.domain.de ist nicht für mein.shop.domain.de gültig.

Multi-Domain Zertifikate (SAN-Zertifikate)

Wenn Unternehmen SSL-Zertifikate für mehrere Hauptdomains benötigen, ist ein Multi-Domain Zertifikat oft die einfachere und auch günstigere Variante im Vergleich zu Einzelzertifikaten. Mit einem Multi-Domain Zertifikat (auch SAN-Zertifikat genannt; SAN = Subject Alternative Names) sind verschiedene Domains wie domain1.de, domain2.com usw. unter einer gemeinsamen IP-Adresse abgesichert und es muss nur ein Zertifikat installiert und verwaltet werden. Je nach Zertifizierungsstelle können auch Wildcard-Zertifikate für Sub-Domains integriert werden. Multi-Domain Zertifikate werden häufig auch zur Absicherung von Exchange- und anderen Kommunikationsservern eingesetzt.

3. Unterschiede in der Browserkompatibilität bzw. Akzeptanz

Bevor der Browser eine Verbindung mit einer SSL-verschlüsselten Webseite aufbaut, überprüft er die Gültigkeit des Zertifikats und ob es von einer vertrauensvollen Stelle signiert wurde. Die Browser haben sogenannte Stammzertifikate von als vertrauenswürdig anerkannten Zertifizierungsstellen vorinstalliert. Nicht alle, insbesondere mobile Browser und Geräte vertrauen auf diese Weise allen Zertifizierungsstellen. Darüber hinaus sollte das Zertifikat auch abwärtskompatibel mit älteren Browser-Versionen sein.

4. Unterschiede in der Laufzeit

Die meisten SSL-Zertifikate werden mit einer Laufzeit von 1 oder 2 Jahren angeboten und müssen nach Laufzeitende verlängert werden, wenn die SSL-Zertifizierung für die Domain weiterhin benötigt wird. Bis vor kurzem gab es auch noch SSL-Zertifikate mit 36 Monaten Laufzeit. Die sind inzwischen weitestgehend aus dem Angebot verschwunden, weil neue Zertifikate ab dem 1. März 2018 nur noch eine maximale Laufzeit von 825 Tagen, also knapp 2,3 Jahre haben dürfen. Mehr dazu in diesem Beitrag.

Die Laufzeit der kostenfreien, domainvalidierten SSL-Zertifikate von Lets’s Encrypt beträgt maximal 90 Tage. Diese müssen somit spätestens alle 3 Monate erneuert werden.

Und was ist mit selbst signierten Zertifikaten?

Selbst signierte Zertifikate sorgen zwar auch für eine verschlüsselte Datenübertragung, aber es fehlt der Nachweis, dass die Authentizität der Domain von einer unabhängigen Stelle überprüft wurde. Da der Browser ein solches Zertifikat erst einmal nicht als vertrauenswürdig einstuft, erzeugt es beim Anwender unschöne Sicherheitswarnungen, die nicht gerade vertrauensbildend wirken. SSL-Zertifikate sollen ja nicht nur die Daten verschlüsseln, sondern auch vor gefälschten Webseiten und Man-in-the-Middle Angriffen schützen. Da inzwischen an die 25 Prozent aller Phishing-Webseiten auch https nutzen, garantiert Verschlüsselung allein im Web noch keine Sicherheit.