Es gibt inzwischen immer mehr Zertifizierungsstellen, die um Kunden wetteifern. Die Preise dieser Zertifikate könnten unterschiedlicher nicht sein, aber was genau ist der Unterschied? Welches Zertifikat Sie benutzen sollten, und auf welche technischen Eckdaten Sie achten müssen, darum geht es in diesem Artikel.
Zertifizierungsstellen
Es gibt verschiedene Zertifizierungsstellen (auch Certification Authorities, CA genannt). Grundsätzlich kann jede Firma, die technisch dazu in der Lage ist, eine Zertifizierungsstelle eröffnen – es gibt keine gesetzlich vorgegebenen Standards dafür.
Praktisch gesehen benötigt eine Zertifizierungsstelle jedoch das Vertrauen der großen Webbrowser und Betriebssysteme. Deshalb durchlaufen die meisten Zertifizierungsstellen in den USA und in Europa jährliche Überprüfungen, um dann als vertrauenswürdiger „Root“ in Browsern und Betriebssystemen anerkannt zu werden. Mozilla Firefox listet zum Beispiel mehr als 180 Rootzertifikate von mehr als 80 Organisationen als vertrauenswürdig. Marktführende Zertifizierungsstellen sind Comodo, Symantec und GoDaddy.
Die Zertifizierungsstelle Let´s Encrypt (deutsch „Lasst uns verschlüsseln“) stellt einen Sonderfall dar. Let’s Encrypt bietet SSL Zertifikate kostenlos an. Die Zertifizierungsstelle entstand 2014 durch eine Kooperation mehrerer Unternehmen und gemeinnütziger Organisationen wie die Electronic Frontier Foundation, Mozilla, Cisco und Akamai und ist selbst gemeinnützig. Ziel des Let´s Encrypt-Projekts ist es, verschlüsselte Verbindungen im Internet zum Normalfall zu machen. Um die Zertifikate kostenlos anbieten zu können, wurden alle Schritte der Erstellung, Validierung, Signierung, Einrichtung und Erneuerung von Zertifikaten automatisiert.
Je nach Zertifizierungsstelle und gewünschter Zertifikatsstufe werden mehr oder weniger Informationen des Antragstellers benötigt, um die Domain zu verifizieren. Auch die Preise für SSL-Zertifikate steigen mit der Validierungsstufe. Kostenlose Let´s Encrypt-Zertifikate sind nur für die einfachste Validierungsstufe, die Domainvalidierung, verfügbar.
Validierungsstufen im Überblick
SSL-Zertifikate enthalten einen öffentlichen Schlüssel und bestimmte Informationen zum Antragssteller. Es gibt verschiedene Arten von Zertifikaten, die sich vom Umfang der Informationen unterscheiden:
Domain Validated (DV) Certificate (Zertifikat für eine überprüfte Domain)
Ein DV-Zertifikat hat die geringste Vertrauensstufe und validiert den Domainnamen. Damit wird nur bewiesen, dass eine Anfrage von addresse-im-netz.de wirklich von der Domain addresse-im-netz.de kommt, weitere Informationen werden jedoch nicht abgefragt. Für die Domainvalidierung wird eine der vier Kontaktpersonen der Domain von der Zertifizierungsstelle per E‑Mail kontaktiert. Diese Kontaktperson muss bestätigen, dass das Zertifikat ausgestellt werden darf.
- Owner (Domaininhaber)
- Tech‑C (Technischer Kontakt)
- Admin‑C (Administrativer Kontakt)
- Zone‑C (Zonen Kontakt)
Die von uns empfohlenen, kostenlosen Let´s Encrypt Zertifikate gehören dieser Validierungsstufe an. Diese Zertifikate sind geeignet für alle Webseiten, Foren und Mailserver.
Organisation Validated (OV) Certificate (Zertifikat für eine überprüfte Organisation)
Um ein OV-Zertifikat zu erlangen, muss eine Firma nicht nur beweisen, dass ihr die Domain gehört, sondern auch bestätigen, dass es sich um die genannte Firma am genannten Standort handelt.
Bei der Validierung der Organisation wird also zusätzlich zur Domainprüfung eine Identitätsprüfung vorgenommen. Zumeist wird ein Handelsregisterauszug angefordert, Bankdaten abgeglichen und telefonisch Kontakt aufgenommen. Oftmals greifen die Zertifizierungsstellen hier auf die Telefonnummer im Telefonbuch zurück.
Diese Zertifikate sind geeignet für Unternehmenswebseiten und Webshops.
Zertifikate mit erweiterter Validierung (EV-Zertifikate)
Das EV-Zertifikat ist das umfangreichste und teuerste. Bei diesem Zertifikatstyp wird aktiv geprüft, ob es sich beim Antragsteller um eine registrierte Organisation handelt, die über ein aktives Konto verfügt, mit dem am aktiven Geschäftsverkehr teilgenommen werden kann. Dazu wird über die Adresse und Telefonnummer geprüft, ob es sich nur um eine Scheinfirma handelt. Zuletzt wird noch überprüft, ob der Antragssteller des Zertifikats beim Unternehmen angestellt ist und die Bestellung vornehmen darf.
Einige Browser honorieren EV-Zertifikate durch eine Anzeige des Organisationsnamens neben der Adresszeile und die grüne Hinterlegung der kompletten Adresszeile.
Diese Zertifikate sind geeignet für größere Webportale, vor allem von Unternehmen wie Banken, bei denen höchst sensible Daten eingegeben werden.
Wildcard- und Multidomain-Zertfikate
Einfache SSL-Zertifikate gelten nur für eine Domain (z.B. www.domain.de). Es gibt allerdings auch Wildcard SSL-Zertifikate (auch genannt „Platzhalter-Zertifikate“). Diese gelten nicht nur für die Domain, sondern auch für alle Subdomains (z.B. jobs.domain.de, show.domain.de). Seit Anfang 2018 gibt es kostenlose Wildcard Zertifikate von Let´s Encrypt. Mehr Informationen zu diesem Thema erhalten Sie in unseren Artikeln „So erstellen Sie ein Let´s Encrypt Wildcard Zertifikat“ und „Let´s Encrypt Wildcard Teil 2: Renew“.
Multidomain SSL-Zertifikate, können für mehrere Domains gleichzeitig genutzt werden. Diese kommen zum Einsatz, wenn Inhalte einer Webpräsenz auf mehreren Domains präsentiert werden. Das ist oft bei international agierenden Unternehmen der Fall, bei denen länderspezifische Inhalte mit der jeweiligen länderspezifischen Domain präsentiert werden (z.B. www.domain.de, www.domain.nl)
Auch bei Wildcard- und Multidomain-Zertifikaten gibt es die verschiedenen Validierungsstufen, deren Preise dann entsprechend günstiger oder teurer sind.
Die bessere Verschlüsselung
Egal für welche Validierungsstufe Ihres SSL-Zertifikates Sie sich entscheiden: Sie sollten auf einige technische Eckdaten achten.
Das SSL-Zertifikat besteht aus einem öffentlichen Schlüssel, einem privaten Schlüssel und den Informationen zum Zertifikatsinhaber und der Zertifizierungsstelle. Die Zertifizierungsstelle signiert den öffentlichen Schlüssel, um anzuzeigen, dass dieser in den Augen der Zertifizierungsstelle glaubwürdig ist.
Der öffentliche Schlüssel
Der öffentliche Schlüssel ist ein kryptografischer Schlüssel. Er dient der Verschlüsselung der übertragenen Daten. Der öffentliche Schlüssel sollte eine Dateigröße von mindestens 4096bit haben. Die Größe des Schlüssels ist ein Maß für die Sicherheit: größere Schlüssel können weniger schnell „erraten“ werden.
Der private Schlüssel
Um die Nachricht wieder zu entschlüsseln, wird ein anderer Schlüssel benötigt, der private Schlüssel. Dieser private Schlüssel ist einzig auf dem verifizierten Server fest installiert und nur er kann die Nachrichten wieder entschlüsseln. Für den privaten Schlüssel ist eine Größe von 256bit nach heutigen Maßstäben ausreichend.
Verschlüsselungsmechanismen
Einen sicheren Schlüssel für das SSL Zertifikat zu haben ist die eine Sache, das Zertifikat richtig einzusetzen, die andere: Mit Hilfe eines SSL-Zertifikates können verschiedene Verschlüsselungs-Mechanismen eingesetzt werden. Veraltete Verschlüsselungs-Mechanismen können geknackt werden und müssen deshalb in den Server-Einstellungen ausgeschlossen werden.
Die Abkürzung SSL steht für Secure Sockets Layer und ist zum Synonym für die Verschlüsselung von Online-Datenströmen geworden. Dabei wird das originale SSL Format nicht mehr verwendet. Es wurde durch den neueren und sichereren TLS (Transport Layer Security) Standard ersetzt.
SSLv3.0 war die letzte SSL Version – seitdem wird der Verschlüsselungsstandard als TLSv1.0 weitergeführt. Der heute (Anfang 2019) sicherste Verschlüsselungsstandard ist TLSv1.2, während SSL Versionen vor SSLv3 (also SSLv1 und SSLv2) nach der Aufdeckung schwerwiegender Sicherheitslücken als unsicher gelten.
Wie läuft die Verschlüssselung über SSL ab?
Verschlüsselt wird immer auf die gleiche Art und Weise:
- Der Client schickt dem Server die erste Anfrage
- Der Server schickt dem Client das öffentliche SSL-Zertifikat
- Der Client überprüft die Vertrauenswürdigkeit des SSL Zertifikats mit Hilfe des öffentlichen Schlüssels der Zertifizierungsstelle
- Der Client verschlüsselt mit dem öffentlichen SSL Zertifikat einen zufälligen SessionKey und schickt diesen an den Server
- Der Server entpackt den SessionKey mit dem privaten Schlüssel des SSL Zertifikats
- Mit dem SessionKey, der nun beiden bekannt ist, können verschlüsselte Daten ausgetauscht werden.
Wir glauben an den Sinn der verschlüsselten Datenübertragung und an ein sicheres und freies Internet und bieten Ihnen deshalb kostenlose Let´s Encrypt SSL-Zertifikate (auch Wildcard-Zertifikate) an. Selbstverständlich unterstützen wir Sie auch bei der sicheren und professionellen Implementierung der Verschlüsselung. Was dabei zu beachten ist, und wie Sie den richitgen Einbau Ihrer Verschlüsselungstechnologie überprüfen können, erfahren Sie in unserem Artikel „SSL-Zertifikate auch 2019 sicher einbinden und testen“.
Schauen Sie bei unseren günstigen SSL Zertifikaten vorbei, um weitere Informationen und Preise von sixhop.net zu finden.