SSL- und TLS-Zertifikate: Sichere Websites dank Verschlüsselung
Lesedauer ‘SSL- und TLS-Zertifikate: Sicherer Datenverkehr dank Verschlüsselung’: 5 Minuten
Internetkriminalität ist DAS Thema. Ungesicherte Unternehmenswebsites sind in diesem Zusammenhang ein gefundenes Fressen. Gerade Firmenwebsites, auf denen personenbezogene Angaben gemacht werden, sollten demnach gesichert sein. Das Stichwort lautet: SSL-Zertifikat. Was ein SSL-Zertifikat ist, wozu es dient, welche Auswirkungen das Fehlen eines solchen Zertifikats hat und wie Sie zu einem Zertifikat für eine Unternehmenswebsite gelangen, verraten wir Ihnen im nachfolgenden Beitrag.
Die Tage, in denen Unternehmenswebsites als starres Informationsmedium über Zeiträume hinweg die Webseitenbesucher langweilten, sind endgültig vorbei. Heute sind diese Websites mehr als nur eine ‘digitale Visitenkarte’. Sie sind Marketinginstrument, Vertriebskanal, Service-Portal und Werkzeug zur Neukundengewinnung in einem – ein essenzieller Baustein für unternehmerischen Gewinn.
Allerdings zeichnen sich kompetente Unternehmenswebsites nicht nur durch zeitgemäßes Webdesign, hohe Benutzerfreundlichkeit und schnelle Ladezeiten aus, sondern auch durch ein fundiertes Sicherheitskonzept.
Deshalb ist der Einsatz von SSL- und TLS-Zertifikaten für Unternehmenswebsites ein zwingendes Soll. Nicht zuletzt, um eine stetig zunehmende Anzahl von Rechtsvorschriften sowie weitere verpflichtende Bedingungen zu befolgen, welche aus der europäischen Datenschutz-Grundverordnung (EU-DSGVO), dem Telemediengesetz (TMG), der ePrivacy-Richtlinie oder einem neuen Beschluss des Bundesgerichtshofs (BGH) zur aktiven Einwilligungsmöglichkeit der Cookie-Nutzung resultieren.
SSL- und TLS-Zertifikat kurz erklärt
Einfach gesprochen sind SSL- und TLS-Zertifikate kleine Datenpakete, welche die Identität einer Unternehmenswebsite sicherstellen und sämtliche Datenverbindungen zwischen dem Browser und der Domain auf dem Webserver verschlüsseln.
Die Kurzbezeichnung SSL steht für ‘Secure Socket Layer‘ und ist streng genommen ein altmodisches Protokoll, welches zur Verschlüsselung und Authentifizierung sensibler und vertraulicher Informationen zwischen einer Anwendung und einem Webserver verwendet wird. Mittlerweile funktionieren Zertifikate mit dem moderneren, sichereren Transport Layer Security-Protokoll (TLS). Im allgemeinen Sprachgebrauch wie auch in der Praxis wird allerdings weiterhin von SSL-Zertifikaten gesprochen, sofern es um eine Absicherung von Firmenwebsites sowie Webservern über diese Verschlüsslungstechnik geht.
Üblicherweise werden SSL- und TLS-Zertifikate verwendet, um Kontaktformulare, Login-Areale, Online-Bezahlungen und sonstige Datenübertragungen zu sichern.
Welche SSL- und TLS-Zertifikate gibt es?
Um ein SSL- oder TLS-Zertifikat zu erhalten, müssen sich Unternehmen an eine Zertifizierungsstelle wenden, welche durch das Public Key Infrastructure Consortium (PKI) – der Organisation zur Erhöhung der Datensicherheit im Internet – für den Vertrieb von SSL- und TLS-Zertifikaten berechtigt wurden.
Website-Betreiber können hierbei zwischen drei verschiedenen Versionen von SSL- und TLS-Zertifikaten wählen:
Domain Validation-Zertifikat – Dieses Zertifikat bildet die unterste Stufe der SSL- und TLS-Zertifikate. Das bedeutet, dass die Überprüfung der Websitebetreiber bei der Erstellung dieser Version nicht besonders ausführlich ist. Oftmals versendet die Zertifizierungsstelle lediglich eine Mail an die im ‘WHOIS-Eintrag’ angegebene Mail-Adresse und fordert die Antragsteller auf, (z.B.) einen DNS-Eintrag zu ändern oder eine besondere Datei auf seinen Server zu ladenund so den Besitz der Domain zu verifizieren. Da der Überprüfungsvorgang hier meist gänzlich automatisiert verläuft, werden Domain-Validation-Zertifikate unter Experten oftmals als nicht sicher eingestuft. Manche Browser markieren daher Domain-Validation-Zertifikate, um auf die vergleichsweise niedrigen Sicherheitsstandards hinzuweisen.
Organization Validation-Zertifikat – Diese Version ist vom Sicherheitsniveau eine Stufe höher angesiedelt und wird erst nach einer präzisen Unternehmensprüfung ausgestellt. Website-Besucher haben die Möglichkeit, die Vertrauenswürdigkeit der Internetseite genau zu kontrollieren.
Extended Validation-Zertifikat – Dieser Typ von SSL-und TLS-Zertifikat wird nach äußerst strikten Auswahlkriterien vergeben und stellt dementsprechend die höchste Sicherheitsstufe dar. Die Zertifizierungsstellen begutachten neben der Website das in Beziehung stehende Unternehmen und den Bewerber selbst.
Alle Varianten sind für eine einzelne Internetseite oder als Multidomain-Lösung (SAN-Zertifikate) verfügbar.
Kostenlose vs. kostenpflichtige Zertifikate
Geht es um die bloße Sicherung einer Unternehmenswebsite, erfüllt ein kostenfreies Zertifikat die Ansprüche ebenso gut wie ein kostenpflichtiges. Nichtsdestotrotz gibt es einige Details, in denen sich kostenlose und kostenpflichtige Zertifikate voneinander unterscheiden.
Validation Level – Die Verschlüsselungs-Levels sind für jedes SSL- und TLS-Zertifikat die selben, jedoch unterscheiden sie sich im erforderlichen Verifizierungsprozess. Grundlegend gilt: Zertifikate mit einer höheren Sicherheitsstufe sind generell kostenpflichtig.
Gültigkeit – Die meisten kostenpflichtigen SSL- und TLS-Zertifikate sind ein bis zwei Jahre gültig. Kostenlose Zertifikate laufen dagegen nach maximal 90 Tagen ab. Firmen, die auf gebührenfreie Zertifikate bauen, müssen diese also ständig neu beantragen bzw. austauschen.
Domain-Zugehörigkeit – Ein kostenloses SSL- oder TLS-Zertifikat lässt sich immer bloß für eine einzelne Domain erzeugen und an diese ist es dann auch gebunden. Kostenpflichtige Zertifikatlösungen sind domainübergreifend nutzbar.
Wie erkenne ich, ob eine Website über SSL erreichbar ist?
Entsprechend zertifizierte Unternehmenswebsites weisen am Anfang der Internetadresse ein ‘https’ statt ‘http’ aus. Das ‘s’ steht dabei für ‘secure’ und zeigt dem Website-Besucher, dass dem Hypertext-Transfer-Protocol eine erweiterte Verschlüsselungsschicht angehängt ist. Darüber hinaus kann eine sichere Verbindung durch ein ‘Geschlossenes Vorhängeschloss’-Symbol oder eine grüne Adressleiste angezeigt werden.
Google rät jedem Unternehmen bzw. Websitebetreiber, SSL- und TLS-Zertifikate zu verwenden. Bereits seit 2014 wird dies zusätzlich mit positivem Suchmaschinen-Ranking honoriert.
Ohne Websitesicherheit kein Kundenvertrauen
Die aktuelle Situation Internetkriminalität betreffend verschafft dem Thema ‘SSL- und TLS-Zertifikate’ neue Relevanz. Und immer noch sind zu viele Unternehmenswebsites – gerade die kleiner und mittelständischer Betriebe – gar nicht oder nur unzureichend zertifiziert.
Neben dieser existenzsicherenden Tatsache gibt es weitere gute Argumente für den Einsatz eines adäquaten Zertifikats:
- Das Vertrauen von Kunden und Interessenten wird gefestigt
- Ein Zertifikat hat positive Auswirkungen auf das Suchmaschinen-Ranking
- Rechtsvorschriften und Leitlinien werden eingehalten bzw. erfüllt
Es sei aber nochmals ausdrücklich erwähnt: SSL- und TLS-Zertifikate erfüllen ihren Zweck nur dann, wenn sie von einer vertrauenswürdigen Zertifizierungsstelle stammen. Die Bundesdruckerei hat hierzu in einem Artikel die bedeutendsten Faktoren detailliert dargestellt.
Ihre Unternehmenswebsite hat bislang kein SSL- oder TLS-Zertifikat? Dann wird es allerhöchste Zeit! Eine Unternehmenswebsite ohne Zertifikat ist vergleichbar mit einem Unternehmen ohne Schloß an der Eingangstür … Haben Sie weitere Fragen zu Zertifikaten oder Verschlüsselung? Sind Sie auf der Suche nach einer geeigneten Zertifizierungsstelle? Kontaktieren Sie uns unter 0800 4883 338, wir beraten Sie gerne!