Worum geht's?
Urlaubsreisen buchen, shoppen gehen, mit Freunden über Social Media kommunizieren oder eine eigene Website erstellen lassen. Das Internet bietet zahlreiche Möglichkeiten, sich das Leben leichter zu machen und dabei auch noch jede Menge Spaß zu haben. Aber das Internet birgt auch Gefahren. Die Cyberkriminalität nimmt stetig zu. Und die DSGVO nimmt vor allem Unternehmen in die Pflicht, personenbezogene Daten zu schützen. Eine Möglichkeit dies zu tun, bietet die SSL-Verschlüsselung und SSL-Zertifikate für Ihre Websites. Was das ist, welche Vorteile sie haben und wie Sie Ihre Website mit SSL schützen können, lesen Sie in diesem Artikel.
1. Was ist eine SSL-Verschlüsselung? Was sind SSL-Zertifikate?
SSL - Secure Sockets Layer - ist ein Protokoll, welches sich zwischen Webserver und Browser eines Nutzers schaltet und somit die Datenübertragung verschlüsselt. So können sensible Daten wie Passwörter, Zahlungsinformationen oder Adressen auf Webseiten und in Online-Shops geschützt werden.
Die SSL-Verschlüsselung kann auch die Kommunikation via E-Mail verschlüsseln. Der Name SSL hat sich in den letzten Jahren durchgesetzt, obwohl bereits 1999 die SSL-Verschlüsselung durch TLS - Transport Layer Security - abgelöst wurde. Durch TLS-Zertifikate sind heute mehr Sicherheit, Effizienz und Flexibilität möglich. Im Laufe der Jahre hat sich nicht nur die Bezeichnung des SSL-Zertifikats weiterhin durchgesetzt, sondern neben TLS-Zertifikaten auch die Doppelbezeichnung SSL- / TLS-Zertifikat.
Wollen Sie Ihre Website mit der SSL-Verschlüsselung absichern, so erhält der Protokollname ein zusätzliches “S” für "Secure". Aus der HTTP- wird dementsprechend ein HTTPS-Protokoll. Der Nutzer kann die Verschlüsselung in der Regel an einem Schloss-Symbol am Anfang der Adresszeile des Browsers erkennen. Das sieht dann so aus:
Je nachdem, welchen Browser Sie benutzen, kann das unterschiedlich aussehen. Der Screenshot oben ist aus dem Firefox-Browser. Google Chrome hingegen zeigt das Schloss-Symbol erst per Klick auf die “Website-Informationen” oben links in der Adresszeile des Browsers an. Das sieht dann so aus:
2. Wie funktioniert die SSL-Verschlüsselung?
Nutzer erkennen ein gültiges SSL-Zertifikat am Schloss-Symbol in der Browser-Adresszeile. Aber wie funktioniert die Verschlüsselung mittels SSL / TLS genau? Bei der Verschlüsselung werden die Daten durch einen öffentlichen Schlüssel des Servers gesichert. Dieser öffentliche Schlüssel wird durch den Server bereitgestellt.
Durch einen privaten Schlüssel, der nur auf der Serverseite verwendet wird und ansonsten geheim ist, können die Daten entschlüsselt werden. Während der Sitzung des Nutzers, auch SSL- / TSL-Handshake genannt, tauschen Client und Server zufällig generierte Daten aus und verwenden dazu die beiden Schlüssel. Durch diese Daten werden regelmäßig neue Schlüssel hergestellt, die die Verschlüsselung aufrechterhalten. Dabei handelt es sich um die sogenannten Session Keys - Sitzungsschlüssel.
3. Darum sollten Sie Ihre Website per SSL verschlüsseln
Das Internet birgt neben vielen Möglichkeiten wie E-Learning-Plattformen, Online-Shops und Kommunikationskanälen wie Social-Media oder Messenger auch viele Risiken. Die Cyberkriminalität hat in den letzten Jahrzehnten stark zugenommen und birgt sowohl für Nutzer als auch für Unternehmer ein Risiko.
Für beide Parteien können Viren, Phishing oder Trojaner zu einer Infiltration des eigenen Systems führen. Hacker haben es dadurch leicht, Daten auszuspähen und Server lahm zu legen. Vor allem Unternehmen werden regelmäßig um hohe Geldsummen erpresst.
Sicherheit ist daher das A und O im WWW. Um bank- und personenbezogene Daten wirkungsvoll gegen kriminellen Missbrauch zu schützen, wurden in den vergangenen Jahren Verschlüsselungen und Sicherheitszertifikate wie beispielsweise das SSL-Protokoll ins Leben gerufen.
Dies beginnt bei digitalen Signaturen, indem E-Mail-Nachrichten mit einem privaten Schlüssel versehen werden und reicht bis zur Secure Socket Layer (SSL) – Technologie, die wie keine zweite Sicherheitstechnologie sonst der gestiegenen Erwartungshaltung von Kunden in punkto Vertrauen und Sicherheit Rechnung trägt. SSL-Zertifikate gewährleisten Sicherheit im Internet und schützen Ihre Websites vor unerlaubter Manipulation in drei ganz entscheidenden Punkten:
- Ein SSL-Zertifikat ermöglicht die Verschlüsselung vertraulicher Daten bei Online-Transaktionen,
- Jedes SSL-Zertifikat enthält eindeutige und authentifizierte Informationen über den Eigentümer des Zertifikats und
- Ein Zertifizierungsstelle überprüft bei der Ausstellung die Identität des Zertifikatsinhabers.
4. Welche Arten von SSL-Zertifikaten gibt es?
Es gibt verschiedene Verschlüsselungs- und Vertrauensstufen bei SSL-Zertifikaten, die sich wie folgt unterscheiden:
- Domain Validated (DV): Domainvalidierte Zertifikate sind Zertifikate, die nur schwach validiert sind und bei denen nur die Domain anhand einer als administrativ geltenden E-Mail-Adresse geprüft wird. Eine theoretische Phishinganfälligkeit ist hier nach wie vor gegeben.
- Organisation Validated (OV): Die organisationsvalidierten Zertifikate werden nur nach einer gründlichen Überprüfung des Unternehmens ausgegeben. Der Nutzer kann die Daten der Validierung abrufen und überprüfen.
- Extended Validation (EV): EV-SSL-Zertifikate sind Zertifikate einer erweiterten, stark vereinheitlichten Überprüfung. Sie werden nur nach strengen Auswahlkriterien vergeben, bei denen neben der Webseite auch die Datensicherheit des Unternehmens begutachtet wird.
Während für einen kleinen Onlineblog die DV als Sicherheitsstufe ausreichend ist, sollten Unternehmen bestenfalls auf OV oder EV setzen, um ausreichend abgesichert zu sein.
Sie können selbst entscheiden, ob Sie die SSL-Verschlüsselung für eine Domain oder als Multidomain-Lösung - sogenannte SAN-Zertifikate - nutzen wollen. Benötigen Sie SSL-Zertifikate für mehrere Domains, bieten Multidomain-Zertifikate eine günstigere Alternative zu den Einzelzertifikaten.
Außerdem gibt es Wildcard-Zertifikate. Damit können Sie beliebig viele Subdomains einer bestimmten Domain schützen. Sie merken schon, für jeden Webmaster ist das passende SSL-Zertifikat vorhanden.
5. Muss ich meine Webseite mittels SSL-Verschlüsselung sichern?
Die SSL-Verschlüsselung ist seit der DSGVO verpflichtend. Laut DSGVO sind Sie dazu verpflichtet, die Daten Ihrer Nutzer vor Datenklau zu schützen. Dafür bietet sich eine Ende-zu-Ende-Verschlüsselung mittels SSL-Zertifikaten an. Für viele Nutzer bedeutet das Schloss in der Browser-Adresszeile eine zusätzliche Sicherheit und baut Vertrauen auf.
AUFGEPASST!
Fehlende Sicherheitsmaßnahmen, wie beispielsweise ein fehlendes HTTPS-Protokoll, werden von Suchmaschinen wie Google mittlerweile im Ranking abgestraft. Unsichere Seiten erhalten in der Regel eine schlechtere Google-Position als sichere Webseiten. Gleiches gilt auch für Internetseiten ohne gültiges Zertifikat. SSL-Zertifikate haben eine Gültigkeitsdauer von 12 Monaten und müssen anschließend erneuert werden.
Viele Browser warnen Nutzer mittlerweile vor dem Aufruf einer unsicheren Verbindung. Sie sollten Ihren Nutzern daher eine sichere Möglichkeit anbieten, auf Ihrer Website zu surfen oder in Ihrem Online-Shop einzukaufen, ohne dass Sie Angst haben müssen, dass Ihre Daten geklaut werden könnten.
- Hoher Sicherheitsstandard für Ihre Website und die Daten Ihrer Nutzer und Kunden
- Sicherheit = Vertrauen bei Nutzern und Kunden
- Verbessertes SEO-Ranking
- Einhaltung der DSGVO-Vorgaben zum Datenschutz des Unternehmens
6. Wichtig: Eine gute Zertifizierungsstelle erkennen
Wichtig im Zusammenhang mit SSL-Zertifikaten ist, dass das Zertifikat von einer vertrauenswürdigen Zertifizierungsstelle kommt. Ob eine Certificate Authority (CA) als vertrauenswürdig eingestuft wird, erkennen Sie an folgenden Punkten:
- Die Website der CA hält einen Nachweis über ein Web-Trust- oder ETSI-Audit bereit - meistens in Form eines Logos.
- Die Zertifizierungsstelle hat ein Certificate Policy (CP) und das Certificate Practice Statement veröffentlicht und
- die CA ist Mitglied im CA/B-Forum.
Sie erkennen eine vertrauenswürdige Zertifizierungsstelle außerdem am Einsatz von innovativen Algorithmen und Hash-Funktionen sowie an der Vertrauenswürdigkeit vom Root-Zertifikat in gängigen Browsern und Systemen.
7. So richten Sie eine SSL-Verschlüsselung für Ihre Website ein
Sobald Sie das SSL-/TLS-Zertifikat gekauft haben, müssen Sie es auf Ihrem Server hochladen. Je nach Art des Zertifikats können Sie als Webmaster dann in den Einstellungen anpassen, ob das Zertifikat eine Domain, Subdomains oder mehrere Domains verschlüsseln soll.
Die Einstellungen vorzunehmen ist in der Regel kein Hexenwerk. Die meisten Webhoster bieten dafür eine entsprechende Konfiguration in ihrer Software an, die relativ einfach zu finden ist.
Wenn Sie das SSL-Zertifikat auf Ihrem Server hochgeladen haben, sollten Sie bestenfalls noch überprüfen, ob die Verschlüsselung über gängige Browser wie Safari, Google Chrome und Firefox funktioniert.
8. Fazit zur SSL-Verschlüsselung und SSL-Zertifikaten
SSL-Zertifikate sind seit der DSGVO Pflicht. Die SSL-/TLS-Verschlüsselung bietet eine große Sicherheit für Ihre Website und schützt vor Cyberkriminalität. Außerdem sorgt das Schloss in der Browseradresszeile bzw. die grüne Färbung der Adresszeile für Vertrauen beim Nutzer oder Kunden.
Besonders im E-Commerce sollten Sie den Datenschutz von sensiblen Kundendaten wie Kreditkarteninformationen, Adresse etc. nicht unterschätzen. Ein weiterer positiver Nebenfaktor der SSL-Verschlüsselung ist außerdem das verbesserte SEO-Ranking, denn Google honoriert HTTPS-Webseiten.
- Zurück zur Übersicht: "Domain & Hosting"
- Was passiert, wenn meine Domain gegen Markenrechte verstößt?