SSL-Verschlüsselungen für Ihre Unternehmenswebsite

Es gibt kaum ein Unternehmen im Raum Ingolstadt, dass in den letzten Monaten keine Angst vor einer DSGVO Abmahnung hatte. Vor allem können Sie bzgl. dem Datenschutzverstoß jetzt auch von Ihren Mitbewerber abgemahnt werden. Zudem werden nicht SSL-verschlüsselte Seiten von Browsern immer häufiger als unsicher markiert und von Google abgestraft.

4. Oktober 2018, von Robin Laufenburg in der IT-Sicherheit:
Seit der DSGVO sind SSL-Zertifikate für die Websites der meisten Unternehmen verpflichtend. Nicht SSL-zertifizierte Internetseiten werden auch von Browsern immer häufiger als unsicher markiert und von Suchmaschinen abgestraft. Doch was genau ist ein SSL-Zertifikat überhaupt, was sind seine Vorteile und wie nutzt man es effizient?

Was sind SSL/TLS?
SSL (Secure Socket Layer) verschlüsseln die Kommunikation von zu übertragenden Daten, die zwischen einem Webserver und einem Webbrowser (Client) ausgetauscht werden. Bei der von der Netscape Communications Corporation entwickelten SSL-Verschlüsselung handelt es sich um ein hybrides Verschlüsselungsverfahren zur sicheren Datenübertragung. Nicht selten ist auch die Bezeichnung SSL/TLS zu lesen. Bei TLS (Transport Layer Security) handelt es sich um die gegenwärtige standardisierte Weiterentwicklung vom SSL-Zertifikat. SSL wurde mit Version 3.1 in TLS 1.0 umbenannt.

Das SSL-Zertifikat
HTTPS (Hypertext Transfer Protocol Secure) bezeichnet ein Kommunikationsprotokoll, das das syntaktisch identische HTTP über eine Transportverschlüsselung mittels SSL/TLS verwendet. Durch die visuelle Änderung von HTTP in HTTPS kann man sehen, dass die Verbindung zwischen Server und Browser durch SSL gesichert ist.

Beim SSL-Zertifikat handelt es sich um einen Code, der von dem entsprechenden Webserver eingeholt und an den Webbrowser zurückgesendet wird. Das von einer Zertifizierungsstelle (Certificate Authority – CA) verifizierte digitale Zertifikat besteht aus einem Schlüsselpaar (öffentlich und privat) sowie beschreibenden Informationen zur Gültigkeit und zum Ablauf des digitalen Zertifikats. Der Browser überprüft hierbei, ob die Informationen stimmen und ob er mit dem gewünschten Webserver verbunden ist. Mit der Diffie-Hellman-Schlüsselaustauschvereinbarung wird überdies ein gemeinsames Geheimnis festgelegt und in einem ersten Testdurchlauf ausgetauscht.

SSL-Zertifikate erkennen und unterscheiden
Dass eine Website durch ein SSL-Zerifikat verschlüsselt ist, wird von nahezu jedem Browser durch visuelle Hervorhebungen eindeutig angezeigt. Das an HTTP angehängte „S“ (für „Secure“) signalisiert dem Browser, dass ein Zertifikat anzufordern ist. Auch der Benutzer erkennt durch den Aufruf von HTTPS eindeutig, dass es sich um eine „abhörsichere“ Verbindung handelt.

Ob eine Website eine SSL-Verschlüsselung nutzt, sieht man zudem an einem kleinen, meistens grau oder grün eingefärbten Vorhängeschloss-Icon, das sich (abhängig vom Browser) an oder in der Adresszeile befindet. Das verwendete SSL-Zertifikat wird, klickt man darauf, angezeigt. Unter anderem ist hier die Versionsnummer sowie die Art des SSL-Zertifikats einzusehen.

Es können grob drei Arten von SSL-Zertifikaten voneinander unterschieden werden. Sie weisen unterschiedliche Anforderungen auf, die für die Ausstellung des entsprechenden Zertifikats erfüllt sein müssen.

1. Das Domain-Validated-Zertifikat (DV)
Das Domain-Validated-Zertifikat (DV) ist das am häufigsten verwendete SSL-Zertifikat. Für die Ausstellung eines DV-Zertifikats kontrolliert eine Zertifizierungsstelle, ob der Auftraggeber auch der Inhaber der Website ist. Die Domain verifiziert diesen in einem E-Mail-Verfahren. Die E-Mail wird hierbei an eine WHOIS-Adresse versendet und von dieser bestätigt.

Die Hauptvorteile von Domain-Validated-Zertifikaten sind, dass sie fast sofort ausgestellt werden und keine Unterlagen benötigen. Zudem sind sie äußerst kostengünstig bzw. sogar kostenlos. Diese Art SSL-Zertifikat eignet sich optimal für jede Form von privater Website sowie für sämtliche Blogs, Wikis und Foren.

2. Das Organisation-Validation-Zertifikat (OV)
Optisch unterscheidet sich das Organisation-Validation-Zertifikat (OV) nicht vom Domain-Validated-Zertifikat. Die Darstellung des Schloss-Icons markiert die beiden SSL-Zertifikate grafisch. Klickt man als Benutzer jedoch auf das Icon, so kann man die beiden Arten der Zertifikate unterscheiden. Nur das OV-Zertifikat zeigt das Unternehmen an, das für die Website verantwortlich ist.

Bei der Ausstellung eines Organisation-Validation-Zertifikats findet neben der Domaininhaberschaft eine Identitätsprüfung des Domaininhabers statt. Im Rahmen hiervon werden Bankdaten, Handelsregister und Telefonnummern kontrolliert. OV-Zertifikate kosten im Regelfall erheblich mehr und dauern in ihrer Ausstellung länger als DV-Zertifikate.

3. Das Extended-Validation-Zertifikat (EV)
Beim Extended-Validation-Zertifikat (EV) handelt es sich um ein SSL-Zertifikat, das die höchste Sicherheit signalisiert. Das SSL-Zertifikat durchläuft eine hochsichere Validierung, bei der die Zertifizierungsstelle die Befugnis des Antragstellers überprüft und authentifiziert.

Hochsicherheits-Browser sind in der Lage, EV-Zertifikate zu erkennen. Die sichere Authentifizierung wird durch eine angepasste Browseroberfläche dargestellt. EV-zertifizierte Seiten sind mit einem grünen Kasten in der Adressleiste ausgestattet, in dem der Name der Organisation und der Zertifizierungsstelle steht. Alternativ findet man auch eine Grünmarkierung der gesamten Adressleiste. Diese Art von SSL-Zertifikat richtet sich vor allem an Behördenseiten, große Onlineshops oder die Websites von Banken.

Vorteile von SSL-Verschlüsselungen
Alle gängigen Webbrowser warnen bereits seit längerem vor dem Aufruf von nicht mit SSL-Zertifikaten verschlüsselten Websites. Bisher wurden nicht verschlüsselte Seiten zumeist durch ein rot durchgestrichenes oder geöffnetes Vorhängeschloss dargestellt.

Vermehrt gehen Browser jetzt aber dazu über, Seiten, die nicht mit SSL-Verschlüsselungen gesichert sind, auch als „nicht sicher“ zu kennzeichnen. Vor allem aber kommt es bei immer mehr Browsern auch zu Anzeigefeldern mit Warnungen oder anderen Warnhinweisen. Auch werden mit SSL-Verschlüsselungen zertifizierte Internetseiten von Suchmaschinen immer besser bewertet, nicht zertifizierte Seiten werden hingegen vermehrt abgestraft.

Ein weiterer klarer Vorteil von SSL-Zertifikaten ist, dass durch die verwendeten Verschlüsselungsprotokolle die erhöhte Sicherheit Ihrer Website visuell dargestellt wird. Sie sichern Ihnen also das Vertrauen von Besuchern und potentiellen Kunden und lassen Sie vertrauens- und glaubwürdig erscheinen.

Die Pflicht von SSL-Verschlüsselungen
Aufgrund von stetig steigenden Bedenken zur Cybersicherheit sind viele Benutzer sensibilisiert, auf Warnhinweise Ihres Browsers zu achten und eine Seite, die als „nicht sicher“ markiert ist, generell eher zu meiden.

Nicht zu Unrecht, denn jede unverschlüsselte Verbindung kann prinzipiell von Dritten abgefangen und mitgelesen werden. Daher ist es wichtig, Verbindungen zwischen Server und Client – beispielsweise mit einem SSL-Zertifikat – stets zu verschlüsseln. Verfügt ein Webserver nämlich über ein Verschlüsselungsverfahren, so ist die Datenübertragung sicher. Vor allem bei der Eingabe von sensiblen Daten wie Passwörtern oder Bankverbindungen ist darauf zu achten, dass es sich um eine verschlüsselte, also sichere Verbindung handelt.

Spätestens seit der DSGVO sollten die Websites von Unternehmen mit einem SSL-Zertifikat verschlüsselt sein. (Bild: pixabay.de/TheDigitalArtist)

Die gesetzliche Pflicht von SSL-Verschlüsselungen
Bereits seit Inkrafttreten von § 13 Abs. 7 des Telemediengesetzes (TMG) Anfang 2016 sind Webseitenbetreiber dazu verpflichtet, durch Verschlüsselungsverfahren personenbezogene Daten vor Zugriffen von Dritten zu schützen. Aufgrund strittiger Definition sind jedoch viele Betreiber diesem Gesetz nicht gefolgt.

Seit dem 25. Mai 2018, dem Inkrafttreten der DSGVO, müssen jetzt aber EU-weit alle personenbezogenen Daten ausnahmslos so verarbeitet werden, dass ihre angemessene Sicherheit gewährleistet ist. Mit Art. 32 Abs. 1 lit. DSGVO wird hierbei die Annahme zur Integrität und Vertraulichkeit gemäß Art. 5 Abs. 1 lit. DSGVO konkretisiert und die Verschlüsselung als adäquate technische Maßnahme für die Sicherheit von Daten benannt. Verschlüsselungszertifikate wie SSL-Zertifikate sind somit seit diesem Stichtag für alle Internetseiten Pflicht, die persönliche Daten erheben.

Zu einer Erhebung von personenbezogenen Daten kommt es nach § 13 Abs. 7 lit. TMG bereits durch Formulare jeder Art (wie bspw. Kontakt-, Bestell-, oder Loginformulare ).

IP-Adressen als personenbezogene Daten?
Ob es sich sogar bei IP-Adressen um personenbezogene Daten handelt, ist zu dieser Zeit (Stand September 2018) noch unklar, da es seit der DSGVO bisher noch kein Urteil gab. In einem Urteil vom 24.11.2011 (C-70/10) hat der EuGH jedoch bereits festgelegt, dass es sich bei dynamischen IP-Adressen für Webhoster um personenbezogene Daten handelt.

Sie benötigen Unterstützung bei der Umsetzung der DSGVO? Wir als Dienstleister des IT-SERVICE.NETWORK sind für Sie da!

Als unsicher markierte SSL-Zertifikate
Potentiell kann sich jeder Webmaster SSL-Verschlüsselungen selbst ausstellen und signieren. Das sogenannte selbstsignierte SSL-Zertifikat funktioniert jedoch oftmals nicht und wird von Browsern beispielsweise durch eine rote Einfärbung des Schriftzugs HTTPS als unsicher markiert. Hiervon ist dringlich abzuraten.

Die Gefahr bei kostenlosen SSL-Zertifikaten
Bekanntester Anbieter von kostenfreien, domainvalidierten SSL-Zertifikaten ist die seit Ende 2015 bestehende Zertifizierungsstelle Let’s Encrypt, mit der die Erstellung, Validierung und Verlängerung von SSL-Zertifikaten automatisiert erfolgt. Das Konzept von Let’s Encrypt, SSL-Verschlüsselungen für jeden zur Verfügung zu stellen, ist aufgegangen.

Die Beschaffung eines SSL-Zertifikats
Browser schenken besonders bekannten Zertifizierungsstellen ihr Vertrauen. Der Preis eines SSL-Zertifikats hängt nicht nur von seiner Art (DV, OV, EV), sondern auch der Reputation der Zertifizierungsstelle ab. Die Gültigkeitsdauer beeinflusst ebenfalls den Preis; die gängige Laufzeit eines individuellen, kostenpflichtigen Zertifikats beträgt 12 Monate.

Kaufen Sie daher persönlich ausgestellte Zertifikate bei einer entsprechenden Zertifizierungsstelle oder geben Sie diese wichtige Aufgabe an einen regionalen und kompetenten IT-Dienstleister ab, der sich mit Verschlüsselungsverfahren bestens auskennt und für Sie ein optimales SSL-Zertifikat besorgt. Kombinieren Sie diesen Service mit dem Webhosting Management und lassen Sie sich in allen Belangen um Ihre Website kompetent unterstützen.