SSL-/TLS-Zertifikate: Schutz vor Spionage, Datenklau und Missbrauch

Die Anzahl datenhungriger Internetkrimineller scheint unaufhaltsam zu wachsen. Ungesicherte Unternehmenswebsites sind ein gefundenes Fressen für jede Art von Bedrohungsakteuren. Gerade Unternehmenswebsites, auf denen personenbezogene Daten angegeben werden, sollten daher gesichert sein. Das Schlagwort lautet in diesem Fall: SSL-Zertifikat. Was das SSL-Zertifikat ist, wozu es dient, welche Folgen das Fernbleiben eines Zertifikats hat und wie Sie zu einem Zertifikat für Ihre Unternehmenswebsite gelangen, verraten wir Ihnen in dem nachfolgenden Beitrag.

Die Tage, in denen Firmenwebsites als steifes Informationsmedium über Jahre anhaltend die Besucher langweilten, sind endgültig vorbei. Heute sind Unternehmenswebsites weit mehr als nur eine „digitale Visitenkarte“. Sie sind ein Marketinginstrument, Vertriebskanal, Service-Portal sowie Tool zur Gewinnung von Kunden zugleich – und dadurch eine essenzielle Grundlage für einen unternehmerischen Erfolg.

Dennoch zeichnen sich professionelle und glaubwürdige Unternehmenswebsites nicht nur durch ein zeitgemäßes Webdesign, ihre Benutzerfreundlichkeit sowie eine kurzen Ladezeiten aus, sondern eher durch ihre Sicherheit.

Aus diesem Grund ist ein Einsatz von SSL-/TLS-Zertifikaten für Unternehmenswebsites ein absolutes Soll – nicht letztlich, um eine stets größere Anzahl an Rechtsvorschriften und vorgeschriebenen Bedingungen zu befolgen, welche aus der europäische Datenschutz-Grundverordnung (https://dsgvo-gesetz.de), kurz EU-DSGVO, dem Telemediengesetz, kurz TMG, der ePrivacy-Richtlinie oder einem neuen Beschluss des Bundesgerichtshofs, kurz BGH zur aktiven Einwilligungsmöglichkeit der Cookie-Nutzung, resultieren.

SSL-/TLS-Zertifikat: eine Definition!

Bei einem SSL-/TLS-Zertifikat handelt es sich um eine kleine Datendatei, welche die Individualität einer Unternehmenswebsite garantiert sowie sämtliche Datenverbindungen zwischen dem Browser und der Domain auf dem Webserver verschlüsselt.

Die Abkürzung SSL steht für Secure Socket Layer und ist genau gefasst ein veraltetes Protokoll, das zum Verschlüsseln plus Authentifizieren sensibler sowie vertraulicher Daten verwendet wird, welche zwischen einer Anwendung etwa einem Webbrowser und einem Webserver gesendet werden. Mittlerweile arbeiten Zertifikate mit dem moderneren sowie sichereren Transport Layer Security Protokoll, knapp TLS. Im allgemeinen Sprachgebrauch und in der Praxis wird jedoch fortwährend von SSL-Zertifikaten gesprochen, wenn es um eine Sicherung von Firmenwebsites sowie Webserver mit der Verschlüsslungstechnik geht.

Normalerweise werden SSL-/TLS-Zertifikate verwendet, um Kontaktformulare, Login-Areale,
Online-Bezahlungen, und sonstige Datenübertragungen abzusichern.

Welche SSL-/TLS-Zertifikate gibt es?

Um ein SSL-/TLS-Zertifikat zu erlangen, müssen sich Firmen an eine Zertifizierungsstelle halten, welche für den Verkauf von SSL-/TLS-Zertifikaten, durch das Public Key Infrastructure Consortium (https://pkic.org), kurz PKI, der Einrichtung zur Erhöhung der Datensicherheit im Netz, berechtigt wurden.

Für Webseitenbetreiber stehen dabei drei verschiedene Arten von SSL-/TLS-Zertifikaten zur Auswahl: das Domain-Validation-Zertifikat, Organization-Validation-Zertifikat wie auch das Extended Validation-Zertifikat.

• Domain-Validation-Zertifikate: Das SSL-/TLS-Zertifikat, das unter dem Label Domain Validation, kurz DV, angeboten wird, bildet die niedrigste Ebene der SSL-/TLS-Zertifikate. Das bedeutet, dass eine Beurteilung der Websitebetreiber bei einer Ausstellung eines SSL-/TLS-Zertifikat nicht sehr umfangreich ist. Häufig versendet die Zertifizierungsstelle lediglich eine E-Mail-Nachricht an die im „WHOIS-Eintrag“ genannte E-Mail-Adresse und fordert die Antragsteller auf etwa einen DNS-Eintrag zu verändern oder eine besondere Datei auf seinen Server herunterzuladen, um so die Beherrschung über die Domain zu signalisieren. Da der Überprüfungsvorgang vollständig automatisiert ablaufen kann, werden Domain-Validation-Zertifikate von etlichen nicht als sicher eingeschätzt. Einige Browser markieren daher ein Domain-Validation-Zertifikat eigens, um auf jene im Abgleich zu anderen Zertifikaten geringeren Sicherheitsstandards zu verweisen.
• Organization-Validation-Zertifikate: Organization-Validation-Zertifikate wiederum sind eine Stufe höher anzusiedeln. Das bedeutet, dass sie erst nach einer gründlichen Überprüfung des Betriebs ausgehändigt werden. Websitebesucher haben die Möglichkeit die Vertrauenswürdigkeit der Internetseite im Detail zu prüfen.
• Extended-Validation-Zertifikate: Jene Art von SSL-/TLS-Zertifikat wird nach äußerst strikten Auswahlkriterien vergeben und bildet demzufolge die beste Sicherheitsstufe. Die Zertifizierungsstellen prüfen neben der Internetseite das dabei in Verbindung stehende Unternehmen und den Antragsteller selbst.

Alle SSL-/TLS-Zertifikate sind für eine Domain oder als Multidomainlösung (SAN-Zertifikate) erhältlich.

Kosten: kostenlose SSL-Zertifikate versus kostenpflichtige SSL-Zertifikate

Handelt es sich um die bloße Absicherung einer Unternehmenswebsite, realisiert ein kostenfreies SSL-/TLS-Zertifikat die Ansprüche genauso gut wie ein kostenpflichtiges.
Dennoch gibt es manche Punkte, indem sich kostenfreie und kostenpflichtige Zertifikate voneinander unterscheiden.

• Validation-Level: Die Verschlüsselunglevels sind für jegliches SSL-/TLS-Zertifikat die gleichen, dennoch unterscheiden jene sich im benötigten Verifizierungsprozess. Grundlegend heißt das: SSL-/TLS-Zertifikat mit einer höheren Sicherheitsstufe sind immer kostenpflichtig.
• Gültigkeit: Die meisten kostenpflichtigen SSL-/TLS-Zertifikate sind ein bis zwei Jahre lang gültig. Freie SSL-/TLS-Zertifikate laufen dagegen nach allerspätestens 90 Tagen ab. Firmen, welche auf gebührenfreie SSL-/TLS-Zertifikate bauen, müssen jene also wesentlich öfter austauschen.
• Domain-Zugehörigkeit: Ein kostenfreies SSL-/TLS-Zertifikat lässt sich immer ausschließlich für eine jeweilige Domain erzeugen, an die es danach geknüpft ist. Kostenpflichtige SSL/TLS-Gesamtlösungen lassen ebenso domainübergreifende SSL-/TLS-Zertifikate zu, welche für mehrere Homepages eingesetzt werden können.

Wie erkenne ich, ob eine Site über SSL erreichbar ist?

Eine Unternehmenswebsite, die mit diesem SSL-/TLS-Zertifikat versehen ist, weist am Anfang der Internetadresse ein „https“ aus, anstatt dem gewohnten vertrauten „http“. Ein extra „s“ steht hierbei für „secure“ und zeigt dem Website-Nutzer, dass dem Hypertext-Transfer-Protocol die erweiterte Verschlüsselungsschicht hinzugefügt ist. Darüber hinaus kann eine geschützte Konnektivität durch ein Vorhandensein eines Vorhängeschloss-Symbols oder einer grünen Adressleiste gezeigt werden.

Google empfiehlt inzwischen allen Unternehmen beziehungsweise Websitebetreibern SSL-/TLS-Zertifikate zu verwenden, was wiederum seit 2014 mit einem positiven Suchmaschinen-Ranking honoriert wird.

Umstellung auf https lohnt sich!

Die Internetkriminalität liegt nach wie vor auf dem Erfolgskurs. SSL-/TLS-Zertifikate werden deshalb immer wichtiger, um eine Unternehmenswebsite vor Lauschangriffen oder auch etwaiger Sabotage zu schützen. Darüber hinaus wird das Zutrauen der Kunden gestärkt, was mit der Steigerung der Stellung zusammenhängt. Darüber hinaus haben SSL-/TLS-Zertifikate positive Auswirkungen auf ein Suchmaschinen-Ranking und unterstützen die Firmen hierin, die aktuellen Rechtsvorschriften sowie vorgeschriebene Vorgaben zu befolgen.
Allerdings befolgen SSL-/TLS-Zertifikate allerdings bloß ihren Zweck, wenn diese von einer vertrauenswürdigen Zertifizierungsstelle kommen. Die Bundesdruckerei hat hierfür in einem Artikel sehr gründlich die wichtigsten Kriterien dargestellt.

Ihre Unternehmenswebsite hat bislang kein SSL-Zertifikat? In diesem Fall wird es höchste Zeit!
Denn eine Unternehmenswebsite ohne SSL-Zertifikat ist zu vergleichen mit einem Betrieb ohne „Google My Business“ -Eintrag – antiquiert und nicht mehr modern! * (Quelle: https://www.herold.at/ratgeber/website-erstellen/ssl-zertifikat-kaufen/)

Haben Sie weitere Fragen zu SSL Zertifikaten oder SSL-Verschlüsselung? Oder sind Sie auf der Recherche nach einer geeigneten Zertifizierungsstelle? Sprechen Sie uns gerne an!