SSL-Zer­ti­fi­ka­te sicher ein­zu­bin­den und tes­ten

Wer braucht SSL?

Laut der DSGVO brau­chen alle Web­seiten eine SSL-Ver­schlüs­se­lung, die in irgend­ei­ner Form per­so­nen­be­zo­ge­ne Daten erhe­ben und ver­ar­bei­ten.
Daten sind per­so­nen­be­zo­gen, wenn sie ein­deu­tig einer bestimm­ten natür­li­chen Per­son zuge­ord­net wer­den kön­nen. Damit sind auch Daten, über die sich ein Per­so­nen­be­zug her­stel­len lässt, als per­so­nen­be­zo­ge­ne Daten anzu­se­hen (Bei­spiel: Kfz-Kenn­zei­chen, Kon­to­num­mer, Ren­ten­ver­si­che­rungs­num­mer), selbst wenn die Zuord­nungs­in­for­ma­tio­nen nicht all­ge­mein bekannt sind. Ent­schei­dend ist allein, dass es gelin­gen kann, die Daten mit ver­tret­ba­rem Auf­wand einer bestimm­ten Per­son zuzu­ord­nen.
Damit braucht de fac­to jede Web­seite mit einem Kon­takt­for­mu­lar, in dem der Name zusam­men mit der Email­adres­se abge­fragt wird, eine SSL-Ver­schlüs­se­lung.

Was ist SSL?

Bei SSL han­delt es sich um ein Pro­to­koll, das sicher­stellt, dass Daten mit einer ver­schlüs­sel­ten Ver­bin­dung im Inter­net über­tra­gen wer­den kön­nen – das kön­nen Daten von Web­seiten oder die Über­tra­gung zwi­schen E-Mail Ser­vern sein.
Das SSL steht dabei für Secu­re Sockets Lay­er und ist zum Syn­onym für die Ver­schlüs­se­lung von online Daten­strö­men gewor­den. Dabei wird das ori­gi­na­le SSL For­mat nicht mehr ver­wen­det. Es wur­de durch den neue­ren und siche­re­ren TLS (Trans­port Lay­er Secu­ri­ty) Stan­dard ersetzt.
SSLv3.0 war die letz­te SSL Ver­si­on – seit­dem wird der Ver­schlüs­se­lungs­stan­dard als TLSv1.0 wei­ter­ge­führt. Der heu­te sichers­te Ver­schlüs­se­lungs­stan­dard ist TLS v1.2, wäh­rend SSL Ver­sio­nen vor SSLv3 (also SSLv1 und SSLv2) nach der Auf­de­ckung schwer­wie­gen­der Sicher­heits­lü­cken als unsi­cher gel­ten.
Web­seiten, die mit SSL ver­schlüs­selt sind, erken­nen Sie an der Pro­to­koll­be­zeich­nung in der Adres­se: mit SSL-Zer­ti­fi­kat wird das https Pro­to­koll ver­wen­det und ohne nur das http Pro­to­koll. Sie erken­nen eine ver­schlüs­sel­te Web­seite dar­an, dass ihre Adres­se mit https:// beginnt. Moder­ne Brow­ser kenn­zeich­nen ver­schlüs­sel­te Web­seiten zusätz­lich mit einem grü­nen geschlos­se­nen Vor­hän­ge­schloss in der Adress­zei­le.

Wie funk­tio­niert SSL?

Damit ein Brow­ser eine ver­schlüs­sel­te Ver­bin­dung zu einem Ser­ver und damit zu einer Web­seite auf­bau­en kann, muss der Brow­ser wis­sen, ob der Ser­ver auch zu der Domain gehört, für die er sich aus­gibt. Hier­zu wer­den SSL Zer­ti­fi­ka­te genutzt.
Der Inha­ber einer Web­seite kann ein sol­ches Zer­ti­fi­kat bei einer aner­kann­ten Zer­ti­fi­zie­rungs­stel­le bean­tra­gen.
Es gibt ver­schie­de­ne Zer­ti­fi­zie­rungs­stel­len (auch Cer­ti­fi­ca­ti­on Aut­ho­ri­ties, CA genannt). Je nach Zer­ti­fi­zie­rungs­stel­le und gewünsch­ter Zer­ti­fi­kats­stu­fe wer­den mehr oder weni­ger Infor­ma­tio­nen des Antrag­stel­lers benö­tigt, um die Domain zu veri­fi­zie­ren.

Wie sicher ist Ihre Ver­schlüs­se­lung?

Tools wie sslabs.com zei­gen Ihnen nicht nur ob, son­dern auch wie sicher Ihre Web­seite Daten bei der Über­tra­gung ver­schlüs­selt.

 

Zer­ti­fi­kats­stu­fen im Überblick

Es wird zwi­schen drei ver­schie­de­nen Zer­ti­fi­kats­stu­fen unter­schie­den:

Ein Domain Vali­die­rungs (DV) -Zer­ti­fi­kat hat die gerings­te Ver­trau­ens­stu­fe und vali­diert nur den Domain­na­men. Damit wird nur bewie­sen, dass eine Anfra­ge von domain.de wirk­lich von der Domain domain.de kommt, wei­te­re Infor­ma­tio­nen wer­den jedoch nicht abge­fragt. In den aller­meis­ten Fäl­len ist ein Zer­ti­fi­kat die­ser Vali­die­rungs­stu­fe jedoch völ­lig aus­rei­chend.

Um ein orga­ni­sa­tio­na­les Vali­die­rungs (OV) -Zer­ti­fi­kat zu erlan­gen, muss eine Fir­ma nicht nur bewei­sen, dass ihr die Domain gehört, son­dern auch bestä­ti­gen, dass es sich um die genann­te Fir­ma am genann­ten Stand­ort han­delt.

Das Zer­ti­fi­kat mit erwei­ter­ter Vali­die­rung (EV) ist das umfang­reichs­te und teu­ers­te. Bei die­sem Zer­ti­fi­kats­typ wird aktiv geprüft, ob es sich beim Antrag­stel­ler um eine regis­trier­te Orga­ni­sa­ti­on han­delt, die über ein akti­ves Kon­to ver­fügt, mit dem am akti­ven Geschäfts­ver­kehr teil­ge­nom­men wer­den kann. Dazu wird über die Adres­se und Tele­fon­num­mer geprüft, ob es sich nur um eine Schein­fir­ma han­delt. Zuletzt wer­den noch die Per­so­nen geprüft, die das EV-Zer­ti­fi­kat bean­tra­gen.
Micro­soft Brow­ser hono­rie­ren EV-Zer­ti­fi­ka­te durch eine Anzei­ge des Orga­ni­sa­ti­ons­na­mens neben der Adress­zei­le und die grü­ne Hin­ter­le­gung der kom­plet­ten Adress­zei­le.

Gro­ße Schlüs­sel, klei­ne Schlüs­sel

Wird ein Zer­ti­fi­kat erteilt, so signiert die Zer­ti­fi­zie­rungs­stel­le den öffent­li­chen Schlüs­sel, um anzu­zei­gen, dass die­ser in den Augen der Zer­ti­fi­zie­rungs­stel­le glaub­wür­dig ist. Mit die­sem kryp­to­gra­phi­schen Schlüs­sel wer­den die Nach­rich­ten ver­schlei­ert. Um die Nach­richt wie­der zu ent­schlüs­seln, also in den Ursprungs­zu­stand zurück zu ver­set­zen, wird ein wei­te­rer Schlüs­sel benö­tigt, der pri­va­te Schlüs­sel. Die­ser pri­va­te Schlüs­sel ist ein­zig auf dem veri­fi­zier­ten Ser­ver fest instal­liert und kann die Nach­rich­ten ent­schlüs­seln.
Die Anlei­tung, wie eine Nach­richt zu ver­schlüs­seln ist (der öffent­li­che Schlüs­sel) kann also frei ver­füg­bar gemacht wer­den, wäh­rend die ein­zi­ge Mög­lich­keit die ver­schlüs­sel­te Nach­richt wie­der zu deko­die­ren (der pri­va­te Schlüs­sel) hin­ter Schloss und Rie­gel gehal­ten wer­den kann.
Bei den Schlüs­seln han­delt es sich um kryp­to­gra­fi­sche Datei­en von unter­schied­li­cher Grö­ße: für den pri­va­ten Schlüs­sel sind 256bit TLS 1.2 der heu­ti­ge Stan­dard, für den öffent­li­chen Schlüs­sel soll­ten es 4096bit sein.

Der fach­ge­rech­te Ein­bau eines SSL-Zer­ti­fi­ka­tes

Abruf von Inhal­ten

Wenn ein SSL-Zer­ti­fi­kat in eine Web­seite ein­ge­baut wird, so muss sicher­ge­stellt wer­den, dass alle Inhal­te der Web­seite über das siche­re Pro­to­koll abge­ru­fen wer­den. Teil­wei­se wer­den Bil­der und ande­re Inhal­te unter ande­rem von frem­den Web­seiten nicht ver­schlüs­selt abge­ru­fen.
Damit erhält die Web­seite nicht die siche­re Kenn­zeich­nung und kein grü­nen Schloss in der Adress­zei­le – eigent­lich scha­de, wenn man ein Zer­ti­fi­kat hat.
Um dies zu prü­fen kann man sei­ne eige­ne Web­seite auf https://www.whynopadlock.com/ prü­fen las­sen. Wenn sie nicht wis­sen, wie Sie die unsi­che­ren Inhal­te sicher in Ihre Web­seite inte­grie­ren, kön­nen wir hier ger­ne behilf­lich sein.

SSL-Zer­ti­fi­kat ein­ge­baut aber kein grü­nes Schloss?

Unsi­cher ein­ge­bun­de­ne Inhal­te kön­nen sen­si­ble Daten Ihrer Besucher offen legen.

Wei­ter­lei­tung

Wei­ter­hin ist unbe­dingt aus­zu­schlie­ßen, dass die Web­seite auch noch über den „alten“ unver­schlüs­sel­ten Weg (über http) erreich­bar bleibt. Damit frü­her gesetz­te Links und Lese­zei­chen nicht ungül­tig wer­den, schal­tet man die „alte“ http-Adres­se nicht ab, son­dern lei­tet ledig­lich alle Anfragen an die neue https-Adres­se wei­ter. Geschieht dies nicht, so ent­ste­hen dar­aus grund­sätz­lich zwei Pro­ble­me:

  • Es kön­nen Daten unver­schlüs­selt über­tra­gen wer­den, wenn der Nut­zer über einen „alten“ Link auf die http-Web­seite gelangt und nicht auf das https oder das grü­ne Schloss ach­tet. Dies ist im Sin­ne der DSGVO nicht regel­kon­form und kann abge­mahnt wer­den. Ach­tet der sicher­heits­be­wuss­te Nut­zer auf die Ver­schlüs­se­lung, wird er den Vor­gang even­tu­ell abbre­chen und sein Geschäft auf einer siche­ren Sei­te täti­gen.
  • Der Goog­le craw­ler erkennt http://ihredomain.de und https://ihredomain.de als zwei Sei­ten, aber mit dem­sel­ben Inhalt. Da Goog­le so genann­ten „dupli­ca­te con­tent“ im Ran­king abstraft, ver­lie­ren Sie auch noch Ihre wert­vol­le Plat­zie­rung in der Suche.

SSL – sicher in der Über­sicht

Die rea­len Tücken bei der SSL-Ver­schlüs­se­lung lie­gen, wie so oft, nicht in der Tech­nik, son­dern in der Imple­men­tie­rung.

  1. Der Web­sei­ten­be­trei­ber muss ein­se­hen, dass er ein SSL-Zer­ti­fi­kat braucht. Für Pri­vat­leu­te und Klein­un­ter­neh­mer reicht ein DV-Zer­ti­fi­kat völ­lig aus. DV-Zer­ti­fi­ka­te kos­ten etwa 1–5 € im Monat. Zusätz­lich benö­tigt die Ent­schlüs­se­lung der über­tra­ge­nen Daten etwas mehr Ser­ver-Res­sour­cen. Die Gesamt­kos­ten sind aber so gering im Ver­gleich zum nut­zen, dass wir SSL Zer­ti­fi­ka­te in allen Hosting Pake­ten inklu­si­ve anbie­ten!
  2. Das SSL-Zer­ti­fi­kat muss bean­tragt und dann fach­ge­recht ein­ge­baut wer­den.
    Dabei ist zu beach­ten
    • die Wahl der Zer­ti­fi­zie­rungs­stel­le
    • die Grö­ße des Schlüs­sels
    • der siche­re Abruf aller Inhal­te
    • die voll­stän­di­ge Wei­ter­lei­tung aller Anfragen
  3. Die Ver­schlüs­se­lung muss über­prüft wer­den
    • Gene­rell: https://www.ssllabs.com/ssltest/
    • Unsi­che­re Inhal­te: https://www.whynopadlock.com/
    • Wei­ter­lei­tung: Gehen Sie auf Ihre alte http:// Web­seite. Wer­den Sie nicht sofort auf https:// wei­ter­ge­lei­tet, ist das schlecht.
SSL-Zer­­ti­­fi­­ka­­te sicher ein­zu­bin­den und tes­ten
5 (100%) 2 Bewertung[en]

Juliane de Vries

Dr. Juliane de Vries ist nach einer Karriere an der Uni bei sixhop.net eingestiegen. Sie kümmert sich vorwiegend um die Content Management Systeme WordPress, Joomla! und Shopware, Copywriting, Visuals, Workshops, betreut Kunden und sorgt generell dafür, dass alles läuft.

Latest posts by Julia­ne de Vries (see all)

    Schreiben Sie einen Kommentar