17.08.2017 | SSL statt SOS

SSL-Zertifikate sind fast schon Pflicht. Erfahren Sie mehr in unserem Interview.

Mirco Smolik (30), Leiter Entwicklung mit Schwerpunkt Backend bei kultwerk, erklärt in folgendem Interview, was Sie über SSL-Zertifikate wissen sollten.

"SSL-Zertifizierung kurz erklärt: In einer SSL-verschlüsselten Kommunikation wird die Echtheit des kontaktierten Servers durch ein Zertifikat garantiert und die Verbindung zwischen Client und Server verschlüsselt. Ein Web-Formular ohne SSL-Verschlüsselung ist wie eine Postkarte, die ohne Umschlag verschickt wird. Alle Informationen (im Formular eingegeben Daten) liegen komplett offen, jeder kann sie lesen und ggf. auch manipulieren."

Mirco, warum braucht man ein SSL-Zertifikat?

Hauptsächlich natürlich um die zwischen Client und Server übermittelten Daten zu verschlüsseln um so ein Mitlesen, Ausspähen und Manipulieren (z.B. durch Man-in-the-middle-Angriffe) der Daten durch Dritte zu verhindern und um die Authentizität des Webservers zu verifizieren. Weiterhin sorgt das SSL-Zertifikat beim Besucher der Seite für ein größeres Vertrauen.

Darüber hinaus sind zwei weitere Faktoren wichtig.

Seit dem 1. Januar werden Webseiten ohne SSL-Zertifikat auf Google Chrome als "not-secure" gekennzeichnet, weitere Browser werden dem entsprechend nachziehen.

Außerdem werden schon seit 2014 Webseiten mit sicherer SSL-Verbindung im Suchindex von Google höher bewertet. Neben der Sicherheit geht es also um Suchmaschinenranking und Trustfaktor.

Anzeige einer unsicheren Verbindung im Browser

Wie läuft eine SSL-Zertifizierung ab, wer macht was?

Den eigentlichen Zertifizierungsprozess mit dem Zertifikatsaussteller muss der künftige Zertifikatsinhaber selbst durchlaufen. Bei allen anderen Schritten kann die betreuende Webagentur unterstützen. Das beginnt bei der Beratung: Welches Zertifikat von welchem Anbieter? Außerdem wird die Agentur in der Regel die Kosten eruieren, den Prozess einleiten und begleiten. 

Daneben gibt es noch die technische Seite. Die Webseite oder Website muss für das Zertifikat vorbereitet werden, d.h. wir prüfen, ob iframes oder Assets schon per https eingebunden sind und ob Redirects gesetzt oder angepasst sind.

Wie kann man sich die verschlüsselte Kommunikation vorstellen?

Ganz einfach: Der Browser sendet einen Request an den Server. Dieser antwortet mit einer Kopie des SSL-Zertifikats, die wiederum vom Browser geprüft wird. Bei Verifizierung schickt er ein „ok“ zurück. Im Browser ist standardmäßig eine Liste mit Zertifikatsstellen hinterlegt, die vorgibt, welchen Organisationen für die Zertifikatsausstellung vertraut werden kann.

Abschließend gibt es den „SSL-Handshake“, d.h. für diesen Kommunikationsvorgang wird der Sitzungsschlüssel übertragen.
Mit diesem Schlüssel werden dann alle Daten der Client-Server-Kommunikation verschlüsselt und können auch nur mit diesem wieder dekodiert werden.
Wie der Name schon sagt, sind Sitzungsschlüssel einmalig und immer nur für die aktuelle Sitzung gültig.

Welche SSL-Zertifikate gibt es?

Es gibt drei Zertifikatstypen:

  • das domainvalidierte (DV),
  • das unternehmensvalidierte (OV)
  • und die extended Validation (EV).

Der Hauptunterschied liegt darin, was die Zertifikatsstelle bei der Ausstellung alles prüft und wie das Zertifikat dann in den Browsern angezeigt wird.
Tatsächlich entscheidend ist aber, welche Anforderungen an die Sicherheit überhaupt notwendig sind – sprich wie sensibel sind die Daten und wie exponiert der Absender oder Adressat des Formulars. Zertifikate unterscheiden sich darin, welche Daten bei der Ausstellung verifiziert werden. Je mehr Infos mein Zertifikat ausgibt, desto sicherer kann der Nutzer sein, mit der richtigen Webseite bzw. dem richtigen Server zu kommunizieren."

"Nur SSL-Zertifikate mit Extended Validation gewährleisten in hochsicheren Webbrowsern die Anzeige in einer grünen Adressleiste. Klickt man das Schloss an, werden Unternehmensdaten angezeigt. Das EV-Zertifikat ist geeignet für Unternehmen mit sehr sensiblen Kunden, z.B. Banken, IT-Dienstleister oder andere größere Online-Businesses." 

Das domainvalidierte (DV) Zertifikat
Das unternehmensvalidierte (OV) Zertifikat
Das extended Validation (EV) Zertifikat

Wie lange dauert die Ausstellung eines Zertifikats?

Die Ausstellung eines DV-Zertifikats geht sehr schnell, je nach Anbieter ein paar Minuten bis zu wenigen Stunden. Bei einem OV-Zertifikat sollte man auf jeden Fall mit einem Tag rechnen und bei einem EV-Zertifikat mit einem Zeitfenster von mindestens drei Werktagen. Was die Kosten betrifft, kann man von 5 bis 50 Euro pro Monat ausgehen.

Letzte Frage Mirco: Wer braucht ein SSL-Zertifikat?

Jeder, dem ein vertrauensbildender Auftritt und sein Ranking in Google bzw. den Suchmaschinen wichtig ist. Ein SSL-Zertifikat ist heute Standard, vergleichbar mit Responsivität. Und natürlich ein absolutes Muss für Shopbetreiber und alle, die mit sensiblen Kundendaten zu tun haben.

 Ein Neuauftritt oder ein Relaunch sollte also immer SSL-zertifiziert sein – außer in ganz speziellen Ausnahmefällen, wo ein Reverse Proxy oder ein zweiter Server benutzt wird, aber das ist ein eigenes Thema und betrifft nur wenige Kunden.

Vielen Dank, Mirco!