SSL-Zer­ti­fi­ka­te sicher ein­zu­bin­den und tes­ten

Wer braucht SSL?

Laut der DSGVO brau­chen alle Web­seiten eine SSL-Ver­schlüs­se­lung, die in irgend­ei­ner Form per­so­nen­be­zo­ge­ne Daten erhe­ben und ver­ar­bei­ten.
Daten sind per­so­nen­be­zo­gen, wenn sie ein­deu­tig einer bestimm­ten natür­li­chen Per­son zuge­ord­net wer­den kön­nen. Damit sind auch Daten, über die sich ein Per­so­nen­be­zug her­stel­len lässt, als per­so­nen­be­zo­ge­ne Daten anzu­se­hen (Bei­spiel: Kfz-Kenn­zei­chen, Kon­to­num­mer, Ren­ten­ver­si­che­rungs­num­mer), selbst wenn die Zuord­nungs­in­for­ma­tio­nen nicht all­ge­mein bekannt sind. Ent­schei­dend ist allein, dass es gelin­gen kann, die Daten mit ver­tret­ba­rem Auf­wand einer bestimm­ten Per­son zuzu­ord­nen.
Damit braucht de fac­to jede Web­seite mit einem Kon­takt­for­mu­lar, in dem der Name zusam­men mit der Email­adres­se abge­fragt wird, eine SSL-Ver­schlüs­se­lung.

Was ist SSL?

Bei SSL han­delt es sich um ein Pro­to­koll, das sicher­stellt, dass Daten mit einer ver­schlüs­sel­ten Ver­bin­dung im Inter­net über­tra­gen wer­den kön­nen – das kön­nen Daten von Web­seiten oder die Über­tra­gung zwi­schen E-Mail Ser­vern sein.
Das SSL steht dabei für Secu­re Sockets Lay­er und ist zum Syn­onym für die Ver­schlüs­se­lung von online Daten­strö­men gewor­den. Dabei wird das ori­gi­na­le SSL For­mat nicht mehr ver­wen­det. Es wur­de durch den neue­ren und siche­re­ren TLS (Trans­port Lay­er Secu­ri­ty) Stan­dard ersetzt.
SSLv3.0 war die letz­te SSL Ver­si­on – seit­dem wird der Ver­schlüs­se­lungs­stan­dard als TLSv1.0 wei­ter­ge­führt. Der heu­te sichers­te Ver­schlüs­se­lungs­stan­dard ist TLS v1.2, wäh­rend SSL Ver­sio­nen vor SSLv3 (also SSLv1 und SSLv2) nach der Auf­de­ckung schwer­wie­gen­der Sicher­heits­lü­cken als unsi­cher gel­ten.
Web­seiten, die mit SSL ver­schlüs­selt sind, erken­nen Sie an der Pro­to­koll­be­zeich­nung in der Adres­se: mit SSL-Zer­ti­fi­kat wird das https Pro­to­koll ver­wen­det und ohne nur das http Pro­to­koll. Sie erken­nen eine ver­schlüs­sel­te Web­seite dar­an, dass ihre Adres­se mit https:// beginnt. Moder­ne Brow­ser kenn­zeich­nen ver­schlüs­sel­te Web­seiten zusätz­lich mit einem grü­nen geschlos­se­nen Vor­hän­ge­schloss in der Adress­zei­le.

Wie funk­tio­niert SSL?

Damit ein Brow­ser eine ver­schlüs­sel­te Ver­bin­dung zu einem Ser­ver und damit zu einer Web­seite auf­bau­en kann, muss der Brow­ser wis­sen, ob der Ser­ver auch zu der Domain gehört, für die er sich aus­gibt. Hier­zu wer­den SSL Zer­ti­fi­ka­te genutzt.
Der Inha­ber einer Web­seite kann ein sol­ches Zer­ti­fi­kat bei einer aner­kann­ten Zer­ti­fi­zie­rungs­stel­le bean­tra­gen.
Es gibt ver­schie­de­ne Zer­ti­fi­zie­rungs­stel­len (auch Cer­ti­fi­ca­ti­on Aut­ho­ri­ties, CA genannt). Je nach Zer­ti­fi­zie­rungs­stel­le und gewünsch­ter Zer­ti­fi­kats­stu­fe wer­den mehr oder weni­ger Infor­ma­tio­nen des Antrag­stel­lers benö­tigt, um die Domain zu veri­fi­zie­ren.

Wie sicher ist Ihre Ver­schlüs­se­lung?

Tools wie sslabs.com zei­gen Ihnen nicht nur ob, son­dern auch wie sicher Ihre Web­seite Daten bei der Über­tra­gung ver­schlüs­selt.

 

Zer­ti­fi­kats­stu­fen im Überblick

Es wird zwi­schen drei ver­schie­de­nen Zer­ti­fi­kats­stu­fen unter­schie­den:

Ein Domain Vali­die­rungs (DV) -Zer­ti­fi­kat hat die gerings­te Ver­trau­ens­stu­fe und vali­diert nur den Domain­na­men. Damit wird nur bewie­sen, dass eine Anfra­ge von domain.de wirk­lich von der Domain domain.de kommt, wei­te­re Infor­ma­tio­nen wer­den jedoch nicht abge­fragt. In den aller­meis­ten Fäl­len ist ein Zer­ti­fi­kat die­ser Vali­die­rungs­stu­fe jedoch völ­lig aus­rei­chend.

Um ein orga­ni­sa­tio­na­les Vali­die­rungs (OV) -Zer­ti­fi­kat zu erlan­gen, muss eine Fir­ma nicht nur bewei­sen, dass ihr die Domain gehört, son­dern auch bestä­ti­gen, dass es sich um die genann­te Fir­ma am genann­ten Stand­ort han­delt.

Das Zer­ti­fi­kat mit erwei­ter­ter Vali­die­rung (EV) ist das umfang­reichs­te und teu­ers­te. Bei die­sem Zer­ti­fi­kats­typ wird aktiv geprüft, ob es sich beim Antrag­stel­ler um eine regis­trier­te Orga­ni­sa­ti­on han­delt, die über ein akti­ves Kon­to ver­fügt, mit dem am akti­ven Geschäfts­ver­kehr teil­ge­nom­men wer­den kann. Dazu wird über die Adres­se und Tele­fon­num­mer geprüft, ob es sich nur um eine Schein­fir­ma han­delt. Zuletzt wer­den noch die Per­so­nen geprüft, die das EV-Zer­ti­fi­kat bean­tra­gen.
Micro­soft Brow­ser hono­rie­ren EV-Zer­ti­fi­ka­te durch eine Anzei­ge des Orga­ni­sa­ti­ons­na­mens neben der Adress­zei­le und die grü­ne Hin­ter­le­gung der kom­plet­ten Adress­zei­le.

Gro­ße Schlüs­sel, klei­ne Schlüs­sel

Wird ein Zer­ti­fi­kat erteilt, so signiert die Zer­ti­fi­zie­rungs­stel­le den öffent­li­chen Schlüs­sel, um anzu­zei­gen, dass die­ser in den Augen der Zer­ti­fi­zie­rungs­stel­le glaub­wür­dig ist. Mit die­sem kryp­to­gra­phi­schen Schlüs­sel wer­den die Nach­rich­ten ver­schlei­ert. Um die Nach­richt wie­der zu ent­schlüs­seln, also in den Ursprungs­zu­stand zurück zu ver­set­zen, wird ein wei­te­rer Schlüs­sel benö­tigt, der pri­va­te Schlüs­sel. Die­ser pri­va­te Schlüs­sel ist ein­zig auf dem veri­fi­zier­ten Ser­ver fest instal­liert und kann die Nach­rich­ten ent­schlüs­seln.
Die Anlei­tung, wie eine Nach­richt zu ver­schlüs­seln ist (der öffent­li­che Schlüs­sel) kann also frei ver­füg­bar gemacht wer­den, wäh­rend die ein­zi­ge Mög­lich­keit die ver­schlüs­sel­te Nach­richt wie­der zu deko­die­ren (der pri­va­te Schlüs­sel) hin­ter Schloss und Rie­gel gehal­ten wer­den kann.
Bei den Schlüs­seln han­delt es sich um kryp­to­gra­fi­sche Datei­en von unter­schied­li­cher Grö­ße: für den pri­va­ten Schlüs­sel sind 256bit TLS 1.2 der heu­ti­ge Stan­dard, für den öffent­li­chen Schlüs­sel soll­ten es 4096bit sein.

Der fach­ge­rech­te Ein­bau eines SSL-Zer­ti­fi­ka­tes

Abruf von Inhal­ten

Wenn ein SSL-Zer­ti­fi­kat in eine Web­seite ein­ge­baut wird, so muss sicher­ge­stellt wer­den, dass alle Inhal­te der Web­seite über das siche­re Pro­to­koll abge­ru­fen wer­den. Teil­wei­se wer­den Bil­der und ande­re Inhal­te unter ande­rem von frem­den Web­seiten nicht ver­schlüs­selt abge­ru­fen.
Damit erhält die Web­seite nicht die siche­re Kenn­zeich­nung und kein grü­nen Schloss in der Adress­zei­le – eigent­lich scha­de, wenn man ein Zer­ti­fi­kat hat.
Um dies zu prü­fen kann man sei­ne eige­ne Web­seite auf https://www.whynopadlock.com/ prü­fen las­sen. Wenn sie nicht wis­sen, wie Sie die unsi­che­ren Inhal­te sicher in Ihre Web­seite inte­grie­ren, kön­nen wir hier ger­ne behilf­lich sein.

SSL-Zer­ti­fi­kat ein­ge­baut aber kein grü­nes Schloss?

Unsi­cher ein­ge­bun­de­ne Inhal­te kön­nen sen­si­ble Daten Ihrer Besucher offen legen.

Wei­ter­lei­tung

Wei­ter­hin ist unbe­dingt aus­zu­schlie­ßen, dass die Web­seite auch noch über den „alten“ unver­schlüs­sel­ten Weg (über http) erreich­bar bleibt. Damit frü­her gesetz­te Links und Lese­zei­chen nicht ungül­tig wer­den, schal­tet man die „alte“ http-Adres­se nicht ab, son­dern lei­tet ledig­lich alle Anfragen an die neue https-Adres­se wei­ter. Geschieht dies nicht, so ent­ste­hen dar­aus grund­sätz­lich zwei Pro­ble­me:

  • Es kön­nen Daten unver­schlüs­selt über­tra­gen wer­den, wenn der Nut­zer über einen „alten“ Link auf die http-Web­seite gelangt und nicht auf das https oder das grü­ne Schloss ach­tet. Dies ist im Sin­ne der DSGVO nicht regel­kon­form und kann abge­mahnt wer­den. Ach­tet der sicher­heits­be­wuss­te Nut­zer auf die Ver­schlüs­se­lung, wird er den Vor­gang even­tu­ell abbre­chen und sein Geschäft auf einer siche­ren Sei­te täti­gen.
  • Der Goog­le craw­ler erkennt http://ihredomain.de und https://ihredomain.de als zwei Sei­ten, aber mit dem­sel­ben Inhalt. Da Goog­le so genann­ten „dupli­ca­te con­tent“ im Ran­king abstraft, ver­lie­ren Sie auch noch Ihre wert­vol­le Plat­zie­rung in der Suche.

SSL – sicher in der Über­sicht

Die rea­len Tücken bei der SSL-Ver­schlüs­se­lung lie­gen, wie so oft, nicht in der Tech­nik, son­dern in der Imple­men­tie­rung.

  1. Der Web­sei­ten­be­trei­ber muss ein­se­hen, dass er ein SSL-Zer­ti­fi­kat braucht. Für Pri­vat­leu­te und Klein­un­ter­neh­mer reicht ein DV-Zer­ti­fi­kat völ­lig aus. DV-Zer­ti­fi­ka­te kos­ten etwa 1–5 € im Monat. Zusätz­lich benö­tigt die Ent­schlüs­se­lung der über­tra­ge­nen Daten etwas mehr Ser­ver-Res­sour­cen. Die Gesamt­kos­ten sind aber so gering im Ver­gleich zum nut­zen, dass wir SSL Zer­ti­fi­ka­te in allen Hosting Pake­ten inklu­si­ve anbie­ten!
  2. Das SSL-Zer­ti­fi­kat muss bean­tragt und dann fach­ge­recht ein­ge­baut wer­den.
    Dabei ist zu beach­ten
    • die Wahl der Zer­ti­fi­zie­rungs­stel­le
    • die Grö­ße des Schlüs­sels
    • der siche­re Abruf aller Inhal­te
    • die voll­stän­di­ge Wei­ter­lei­tung aller Anfragen
  3. Die Ver­schlüs­se­lung muss über­prüft wer­den
    • Gene­rell: https://www.ssllabs.com/ssltest/
    • Unsi­che­re Inhal­te: https://www.whynopadlock.com/
    • Wei­ter­lei­tung: Gehen Sie auf Ihre alte http:// Web­seite. Wer­den Sie nicht sofort auf https:// wei­ter­ge­lei­tet, ist das schlecht.
SSL-Zer­­ti­­fi­­ka­­te sicher ein­zu­bin­den und tes­ten
5 (100%) 2 Bewertung[en]

Schreiben Sie einen Kommentar