Überall kann man lesen, dass ein SSL-Zertifikat heutzutage sehr wichtig ist. Und gerade nach der neuen Datenschutz Grundverordnung (DSGVO) scheint es unverzichtbar zu sein. Doch was ist überhaupt ein SSL-Zertifikat und wofür wird es benötigt? Diese und weitere Fragen klären wir in diesem Blog-Artikel.
Was ist ein SSL-Zertifikat?
SSL steht für „Secure Sockets Layer“ und ist ein Verschlüsselungsprotokoll zur sicheren Datenübertragung im Web. Wenn man heutzutage von SSL spricht, meint man meistens das Nachfolgerprotokoll TLS (Transport Layer Security). Daher verwenden wir im Folgenden die beiden Bezeichnungen synonym. Ein SSL-Zertifikat hilft dabei Daten sicher von einem Sender zu einem Empfänger zu schicken. So haben es Angreifer schwer Daten abzugreifen. Durch ein aktives SSL-Zertifikat ändert sich die Domain einer Website von http://beispiel.de zu https://beispiel.de. Seit neustem weist der Google Chrome Browser Webseiten ohne https:// sogar als „nicht sicher“ aus.
Welche Arten von SSL-Zertifikaten gibt es?
Generell unterscheiden wir drei Arten von Zertifikaten:
- Domain-Validated-Zertifikat (DV-SSL)
- Organisation-Validation-Zertifikat (OV-SSL)
- Extended-Validation-Zertifikat (EV-SSL)
Damit sich im Internet getraut werden kann, müssen Identitäten auf ihre Richtigkeit geprüft werden. Denn im Web kann sich quasi jeder einer Website bauen oder eine Domain registrieren. Folglich ist es relativ einfach im Internet zu betrügen.
Domain-Validated-Zertifikat
Ein Domain-Validated-Zertifikat hilft dabei, eine Domain eindeutig einem Benutzer zuzuordnen. Sie sind meistens günstig oder gar kostenlos zu bekommen. Ein Anbieter von gratis Domain-Validated-Zertifikaten ist Let’s Encrypt. Um Let’s Encrypt für seine Domain nutzen zu können, ist es notwendig, Zugriff auf den Website-Server haben. Das bieten gerade kleine Hosting-Pakete nicht an. Deshalb sollte man bei der Hosting-Auswahl darauf achten, dass dieser Let’s Encrypt auch ohne Serverzugriff unterstützt.
Organisation-Validation-Zertifikat
Einen Schritt weiter geht das Organisation-Validation-Zertifikat. Hierbei werden neben den Rechten an der Domain auch die Identität des Unternehmens überprüft. Daher dauert die Ausstellung eines Organisation-Validation-Zertifikats länger und wird im Gegensatz zum Domain-Validated-Zertifikat nicht umgehend ausgegeben. Auf den ersten Blick sehen DV-SSL und OV-SLL im Browser gleich aus.
Klickt man allerdings auf „Secure“ und schaut sich das jeweilige Zertifikat genauer an, ist der Unterschied zu erkennen. Unter „Subject Name“ steht bei einem einfachen Domain-Validated-Zertifikat nur die Domain. Dagegen erscheint bei einem Organisation-Validation-Zertifikat auch Name und Adresse der verifizierten Organisation.
Extended-Validation-Zertifikat
Ein Extended-Validation-Zertifikat prüft neben den oben genannten Schritten noch weitere. Damit ist es das authentischste, aufwendigste und daher auch das teuerste SSL-Zertifikat. Webseiten mit einem Extended-Validation-Zertifikat kann in der Regel vertraut werden. Gerade Banken oder Online-Shops setzten auf diese Zertifikate. Sie kennzeichnen sich durch die „grüne Adresszeile“.
Wofür benötigt man ein SSL-Zertifikat?
Ein TLS-Zertifikat eignet sich vor allem dafür, Kundendaten zu schützen. Kaum jemand gibt seine Kreditkarten-Informationen preis, ohne dem Betreiber einer Website zu vertrauen. Für diesen Vertrauensaufbau spielt die richtige Wahl des Zertifikates eine wichtige Rolle. Neben Zahlungsinformationen sollten auch persönliche Daten nicht von Fremden abgezapft werden können. Ob bei einem einfachen Kontaktformular oder als großer Online-Shop – ein SSL-Zertifkat ist heutzutage ein Muss. Das erste Zertifikat zum Datenschutz gab es bereits 1994. Doch erst seit wenigen Jahren erleben TLS-Zertifikate einen richtigen Aufschwung. Daran haben nicht zuletzt immer strengere Datenschutzbestimmungen ihren Anteil.
Warum ist ein SSL-Zertifikat so wichtig?
Neben dem Aufbau von Vertrauen hat ein SSL-Zertifikat noch weitere Vorteile. Zum einen hilft ein Zertifikat dabei, höher in Suchmaschinen zu erscheinen. Google bevorzugt nämlich Webseiten mit HTTPS-Adresse. Ein SSL-Zertifikat ist also ein wichtiger Ranking-Faktor. Um es noch drastischer auszudrücken: Ohne Zertifikat straft Google deine Seite ab. Zum anderen ist ein SSL-Zertifikat gerade nach der neuen Datenschutz-Grundverordnung unerlässlich. Ein Ziel dieser ist es, personenbezogene Daten zu schützen. Sendet man beispielsweise ein einfaches Kontaktformular von einer Website ohne SSL-Zertifikat ab, können diese Daten abgefangen werden. Damit wurden personenbezogene Daten nicht ausreichend geschützt und die Seite ist nicht datenschutzkonform. Also noch einmal der Appell: Schnellstens auf SSL umrüsten oder gar nicht erst ohne anfangen.
Wo bekomme ich ein SSL-Zertifikat?
Alle vorgestellten Zertifikate werden nur von autorisierten Stellen vergeben. Wenn jeder ein SSL-Zertifikat erstellen könnte, würde man diesen ja wieder nicht vertrauen. Da SSL-Zertifikate heutzutage unverzichtbar sind, bekommt man ein passendes schon bei jedem guten Web-Hoster oder Domain-Händler. Oft sind Domain-Validated-Zertifikate schon in kleinen Paketen enthalten. Natürlich kann man sein Zertifikat auch gleich bei den autorisierten Ausgabe-Stellen kaufen. So oder so sollte man bei der Hosting-Auswahl immer auch ein Auge darauf haben, wie leicht sich ein SSL-Zertifikat implementieren lässt.
In diesem Artikel haben wir eine Übersicht über TLS-Zertifikate gegeben. Außerdem haben wir darauf hingewiesen, dass diese Zertifikate heute unverzichtbar sind. Bei Fragen oder Anregungen zu diesem Eintrag verwendet bitte die Kommentarfunktion auf dieser Seite.