SSL-Basics: Was Du über SSL-Verschlüsselung wissen solltest

Was ist ein SSL-Zertifikat? Wie sicherst du damit deine Website und Daten deiner Kunden ab? Auf diese Fragen geht unser Gastautor Vincenzo Carbone näher ein.

Was ist SSL?

Wie wird die Verschlüsselung geprüft?

Wie aktiviere ich SSL?

Warum ist eine Verschlüsselung wichtig?

Fazit: Verschlüsselung als Teil eines seriösen Online-Auftritts

Nachdem bekannt wurde, dass Facebook sensible Daten an Dritte, insbesondere Firmen, verkauft, legen NutzerInnen umso mehr Wert auf die sichere Handhabung ihrer privaten Angaben. Spätestens seit der neuen EU-Datenschutzverordnung macht man sich beim Surfen im Internet regelmäßig Gedanken darüber, wer warum welche Daten von einem einsehen kann und wie man dem zuvorkommt. Wie man seine Webseiten schützt und was SSL damit zu tun hat, liest Du hier.

Was ist SSL?

„SSL“ steht für „Secure Sockets Layer“ und beschreibt die Verschlüsselung von Online-Datenströmen. Das ursprüngliche SSL-Format wurde mittlerweile vom verbesserten TLS (Transport Layer Secure) abgelöst. Umgangssprachlich ist dennoch die Rede von der SSL-Verschlüsselung. „Layer“ bezieht sich in beiden Begriffen auf die Transportebenen, auf denen der Datenaustausch stattfindet.

Dass eine Internetseite verschlüsselt ist, erkennt man am einfachsten an dem weißen, manchmal grünen, Schloss-Symbol in der Adresszeile. Außerdem wird aus „http“ in der URL ein „https“ (Hypertext Transfer Protocol Secure). Sowohl „http“ als auch „https“ sind Kommunikationsprotokolle zur Datenübertragung im Netz. Der Unterschied: Bei „https“ wird sichergestellt, dass das Surfen sicher ist und die Daten nicht an Dritte weitergegeben werden.
Diese Sicherheit führt zudem zu einem höheren Maß an Vertrauenswürdigkeit und Authentizität bei den UserInnen.

Diese Sicherheit führt zudem zu einem höheren Maß an Vertrauenswürdigkeit und Authentizität bei den UserInnen.

Wie wird die Verschlüsselung geprüft?

Bei mit „https“ gekennzeichneten Seiten wird mittels digitaler Zertifikate von unabhängigen Zertifizierungsstellen die Echtheit des Kommunikationspartners abgefragt. Diese Zertifikate werden heutzutage von den meisten Browsern automatisch geprüft. Sollte es ein Problem geben, wie zum Beispiel ein abgelaufenes oder unvollständiges Zertifikat oder eine unseriöse Zertifizierungsstelle, bekommt der/die UserIn eine Warnung, dass er/sie Zugriff auf eine unsichere Seite verlangt.

Dabei gibt es drei Arten der Zertifikate auf unterschiedlichen Vertrauensstufen. Bei der Wahl des passenden Zertifikats musst Du entscheiden, wie viel Sicherheit Du für die Tätigkeiten Deines Unternehmens benötigst und wie sicher Du den Besuch auf Deiner Seite gestalten möchtest. Zur Auswahl stehen die folgenden Zertifikate:

• Extended Validity (EV): Das sicherste Zertifikat von allen. Anhand äußerst strenger Kriterien wird dafür gesorgt, dass die BesucherInnen von Folgendem ausgehen können: Die Webseite wird von Deinem Unternehmen betrieben wird und die Verbindungen mit dieser Domain sind verschlüsselt. Beim Kauf musst Du allerdings sehr viele Informationen zu Dir und Deiner Firma preisgeben. Dafür wird aber nicht nur Deine Seite, sondern gleich Dein ganzes Unternehmen verifiziert. Banken verfügen normalerweise über ein solches Zertifikat.
• Organisation Validated (OV): Hier findet auch eine Authentifizierung Deines Unternehmens statt. Jedoch werden nicht so viele Daten wie bei einem EV-Zertifikat benötigt. Zum Einsehen müssen die NutzerInnen die Daten einzeln abrufen.
• Domain Validated (DV): Aufgrund eines viel geringeren Informationsaustauschs belegt dieses Zertifikat ausschließlich, dass Du InhaberIn der Seite bist und diese aktiv verwaltest. Es stellt keinen Beweis dafür dar, dass die Seite speziell für Dein Unternehmen ausgestellt wurde. Ebenso wenig gibt die Zertifizierung einen Hinweis darauf, dass die Domain wahrhaftig von Dir bzw. Deiner Firma betrieben wird. Für Blogs ist dieses Zertifikat meist ausreichend.

Wie aktiviere ich SSL?

Um Deine Domain mittels SSL abzusichern, kannst Du bei diversen Anbietern ein vom Certification Authorities Security Council autorisiertes SSL-Zertifikat erwerben. Zu den bekanntesten Anbietern zählen GlobalSign, Geo Trust, Symantec, RapidSSL, AlphaSSL und Thawte.

Wenn Du gleich mehrere Domains schützen möchtest, benötigst Du ein Multidomain- oder auch Wildcard-Zertifikat. Reicht eine einzelne Domain, so bist Du mit dem Erwerb eines Einzeldomain- oder Standard-Zertifikats gut beraten. Falls Du in naher Zukunft mehrere Domains schützen möchtest, ist ein Multidomain-Zertifikat empfehlenswert, da es in Summe zu niedrigeren Kosten kommt.

Der Kauf eines Zertifikats inkludiert im Normalfall eine Anleitung. Aber auch effizientes Web-Hosting beinhaltet mit Sicherheit eine Anleitung zur Aktivierung sowie Tipps, welches Zertifikat das richtige für Deine Bedürfnisse ist.
Prinzipiell besteht die Aktivierung immer aus den folgenden 4 Schritten:

Prinzipiell besteht die Aktivierung immer aus den folgenden 4 Schritten:

• Installieren des SSL-Zertifikats.
• Auswahl der Seiten, Subdomains und Domains, die geschützt werden sollen.
• Seiten einzeln aufrufen, um die SSL-Verschlüsselung zu kontrollieren, oder alternativ einen SSL-Checker verwenden, der diese Arbeit übernimmt.
• Unbedingt eine 301-Weiterleitung von „http“ auf „https“ einrichten, da der Google-Bot ansonsten nicht weiß, welche Version bevorzugt verwendet werden soll. Dies könnte ein schlechteres Ranking beider Versionen bedeuten.

Warum ist eine Verschlüsselung wichtig?

Wenn auf Deiner Webseite Passwörter, Pins oder TANs verwendet werden, ist eine SSL-Verschlüsselung unbedingt notwendig. Seit der Datenschutzverordnung 2018 sind Domain-InhaberInnen, auf deren Seiten personenbezogene Daten – etwa über Kontakt- oder Bestellformulare – abgefragt werden, dazu verpflichtet, diese zu schützen. Dies gilt insbesondere für Online-Shopping-Anbieter, E-Mail-Provider und soziale Netzwerke.

Die erhöhte Sicherheit beeinflusst ebenso das Google-Ranking. Seit 2014 bekommt man nämlich einen kleinen Bonus dafür, wenn man als Unternehmen lediglich „https“-gestützte Seiten verwendet. Darüber hinaus werden BenutzerInnen im Google-eigenen Chrome-Browser mittels der Anmerkung „Nicht sicher“ in der Adresszeile auf das Fehlen einer Verschlüsselung hingewiesen.

Fazit: Verschlüsselung als Teil eines seriösen Online-Auftritts

Willst Du bei Deinen potentiellen KundInnen, LeserInnen oder generell den BesucherInnen deiner Webseite einen guten, seriösen Eindruck hinterlassen, solltest Du Deine Domain(s) auf jeden Fall verschlüsseln. Es mag wie eine unbedeutende Kleinigkeit wirken, doch wird die Sicherheit im Netz in der heutigen Zeit großgeschrieben. Wer da nicht einmal mit dem Minimum mithalten kann, scheidet aus.