SSL-/TLS-Zertifikate: Alles was Sie wissen müssen!

Die Zahl datenhungriger Internetkrimineller scheint kontinuierlich zu steigen. Ungesicherte Firmenwebsites sind ein gefundenes Fressen für diese Art von Bedrohungsakteuren. Gerade Unternehmenswebsites, auf denen personenbezogene Angaben angegeben werden, müssen daher gesichert sein. Das Schlagwort heißt in dem Fall: SSL-Zertifikat. Was ein SSL-Zertifikat ist, wozu es dient, welche Auswirkungen das Fehlen eines Zertifikats hat und wie Sie zu einem Zertifikat für eine Unternehmenswebsite kommen, verraten wir Ihnen in diesem nachfolgenden Beitrag.

Die Zeiten, in welchen Firmenwebsites als steifes Informationsmedium über Jahre hinweg die Webseitenbesucher langweilten, sind unwiderruflich passé. Inzwischen sind Unternehmenswebsites mehr als bloß eine „digitale Visitenkarte“. Selbige sind ein Marketinginstrument, Vertriebskanal, Service-Portal und Werkzeug zur Gewinnung von Kunden zur selben Zeit – und damit eine wesentliche Bedingung für einen unternehmerischen Erfolg.

Dennoch machen sich kompetente und glaubwürdige Unternehmenswebsites nicht nur durch ein zeitgemäßes Webdesign, ihre Bedienerfreundlichkeit und die kurzen Ladezeiten aus, sondern vielmehr durch ihre Sicherheit.

Aus diesem Grund ist der Einsatz von SSL-/TLS-Zertifikaten für Unternehmenswebsites ein zwingendes Muss – nicht letztlich, um die immer höhere Anzahl an Rechtsvorschriften sowie vorgeschriebenen Bedingungen zu befolgen, welche aus der europäische Datenschutz-Grundverordnung, kurz EU-DSGVO, dem Telemediengesetz, knapp TMG, der ePrivacy-Richtlinie oder einem neuen Beschluss des Bundesgerichtshofs, knapp BGH, zur aktiven Einwilligungsmöglichkeit der Cookie-Nutzung, hervorgehen.

Was ist ein SSL-/TLS-Zertifikat?

Bei einem SSL-/TLS-Zertifikat handelt es sich um eine geringe Datendatei, die die Identität einer Unternehmenswebsite sicherstellt und alle Datenverbindungen zwischen dem Browser und der Domain auf dem Webserver chiffriert.

Die Kurzbezeichnung SSL steht für Secure Socket Layer und ist streng gefasst ein veraltetes Protokoll, das zum Codieren plus Authentifizieren sensibler sowie vertraulicher Informationen genutzt wird, die zwischen einer Anwendung etwa einem Webbrowser und einem Webserver gesendet werden. Inzwischen arbeiten Zertifikate mit dem neueren und sichereren Transport Layer Security Protokoll, knapp TLS. Im generellen Sprachgebrauch und in der Praxis wird allerdings weiterhin von SSL-Zertifikaten geredet, wenn es um eine Absicherung von Firmenwebsites sowie Webserver mit der Verschlüsslungstechnik geht.

Typischerweise werden SSL-/TLS-Zertifikate genutzt, um Kontaktformulare, Login-Bereiche,
Online-Bezahlungen, und andere Datenübertragungen abzusichern.

Welche SSL-/TLS-Zertifikate gibt es?

Um ein SSL-/TLS-Zertifikat zu erlangen, müssen sich Unternehmen an die Zertifizierungsstelle wenden, die für den Vertrieb von SSL-/TLS-Zertifikaten, durch das Public Key Infrastructure Consortium (https://pkic.org), kurz PKI, der Organisation zur Erhöhung der Datensicherheit im Internet, berechtigt wurden.

Für Webseitenbetreiber stehen dabei drei unterschiedliche Arten von SSL-/TLS-Zertifikaten zur Selektion: das Domain-Validation-Zertifikat, Organization-Validation-Zertifikat und das Extended Validation-Zertifikat.

  • Domain-Validation-Zertifikate: Das SSL-/TLS-Zertifikat, das unter dem Label Domain Validation, kurz DV, offeriert wird, bildet die niedrigste Stufe der SSL-/TLS-Zertifikate. Das heißt, dass die Überprüfung der Websitebetreiber bei einer Erstellung des SSL-/TLS-Zertifikat nicht besonders ausführlich ist. Oftmals versendet die Zertifizierungsstelle bloß eine E-Mail-Nachricht an die im „WHOIS-Eintrag“ genannte E-Mail-Adresse und fordert die Antragsteller auf etwa einen DNS-Eintrag zu verändern oder eine bestimmte Datei auf dessen Server zu laden, um auf diese Weise die Beherrschung über die Internetseite zu erkennen zu geben. Da der Überprüfungsvorgang gänzlich automatisiert ablaufen kann, werden Domain-Validation-Zertifikate von etlichen nicht als sicher angesehen. Einige Browser markieren daher ein Domain-Validation-Zertifikat eigens, um auf die im Vergleich zu anderen Zertifikaten geringeren Sicherheitsstandards hinzuweisen.
  • Organization-Validation-Zertifikate: Organization-Validation-Zertifikate hingegen sind eine Klasse höher anzusiedeln. Dies bedeutet, dass sie nur nach einer präzisen Prüfung des Betriebs ausgegeben werden. Websitebesucher haben eine Gelegenheit die Vertrauenswürdigkeit der Website genau zu kontrollieren.
  • Extended-Validation-Zertifikate: Jene Kategorie von SSL-/TLS-Zertifikat wird nach äußerst strikten Auswahlkriterien erteillt und formt demzufolge die beste Sicherheitsstufe. Die Zertifizierungsstellen begutachten außer der Website das damit in Beziehung stehende Unternehmen sowie den Antragsteller selbst.

Jegliche SSL-/TLS-Zertifikate sind für eine Internetseite oder als Multidomainlösung (SAN-Zertifikate) verfügbar.

Unterschiede zwischen kostenlosen und kostenpflichtigen Zertifikaten!

Handelt es sich um eine bloße Absicherung einer Unternehmenswebsite, realisiert ein kostenfreies SSL-/TLS-Zertifikat die Ansprüche ebenso gut wie ein kostenpflichtiges.
Nichtsdestotrotz gibt es manche Details, indem sich kostenfreie und kostenpflichtige Zertifikate voneinander differenzieren.

  • Validation-Level: Die Verschlüsselunglevels sind für jegliches SSL-/TLS-Zertifikat die gleichen, dennoch differenzieren sie sich im erforderlichen Verifizierungsprozess. Grundsätzlich gilt: SSL-/TLS-Zertifikat mit einer besseren Sicherheitsstufe sind immer gebührenpflichtig.
  • Gültigkeit: Die häufigsten kostenpflichtigen SSL-/TLS-Zertifikate sind ein bis zu zwei Jahre hin geltend. Freie SSL-/TLS-Zertifikate laufen dagegen nach spätestens 90 Tagen ab. Firmen, welche auf kostenfreie SSL-/TLS-Zertifikate setzen, müssen jene daher wesentlich häufiger auswechseln.
  • Domain-Zugehörigkeit: Ein kostenloses SSL-/TLS-Zertifikat lässt sich immer bloß für eine einzelne Domain erstellen, an die es danach gebunden ist. Kostenpflichtige SSL/TLS-Gesamtlösungen lassen ebenso domainübergreifende SSL-/TLS-Zertifikate zu, welche für unterschiedliche Homepages eingesetzt werden können.

Woran erkennt man ein SSL-Zertifikat?

Eine Unternehmenswebsite, die mit einem SSL-/TLS-Zertifikat versehen ist, weist beim Anfang der Internetadresse ein „https“ aus, anstatt dem bisherigen vertrauten „http“. Ein zusätzliche „s“ steht hierbei für „secure“ sowie zeigt dem Website-Besucher, dass diesem Hypertext-Transfer-Protocol eine erweiterte Verschlüsselungsschicht hinzugefügt ist. Zudem kann eine geschützte Verbindung durch das Vorhandensein eines Schloss-Symbols oder einer grünen Adressleiste angezeigt werden.

Google empfiehlt inzwischen jedem Unternehmen beziehungsweise Websitebetreibern SSL-/TLS-Zertifikate zu verwenden, was wiederum seit 2014 mit dem positiven Suchmaschinen-Ranking honoriert wird.

Hohes Kundenvertrauen dank Verschlüsselung!

Die Internetkriminalität liegt immer noch auf einem Hoch.
SSL-/TLS-Zertifikate werden daher immer wichtiger, um die Unternehmenswebsite vor Lauschangriffen oder möglicher Manipulation zu schützen. Darüber hinaus wird das Vertrauen von Kunden gefestigt, was mit der Erhöhung der Stellung zusammenhängt. Darüber hinaus haben SSL-/TLS-Zertifikate positive Wirkungen auf das Suchmaschinen-Ranking plus fördern die Unternehmen darin, die aktuellen Rechtsvorschriften sowie vorgeschriebene Leitlinien zu befolgen.
Dennoch erfüllen SSL-/TLS-Zertifikate jedoch nur den Zweck, wenn diese von einer vertrauenswürdigen Zertifizierungsstelle stammen. Die Bundesdruckerei hat hierzu in einem Beitrag sehr gründlich die bedeutendsten Faktoren dargestellt.

Ihre Unternehmenswebsite hat bislang kein SSL-Zertifikat? In diesem Fall wird es allerhöchste Zeit!
Denn eine Unternehmenswebsite ohne SSL-Zertifikat ist vergleichbar mit einem Betrieb ohne „Google My Business“ -Eintrag – antiquiert sowie nicht mehr modern! * (Quelle: https://www.herold.at/ratgeber/website-erstellen/ssl-zertifikat-kaufen/)

Haben Sie weitere Fragen zu SSL Zertifikaten oder SSL-Verschlüsselung? Oder sind Sie auf der Suche nach einer passenden Zertifizierungsstelle? Kontaktieren Sie uns gerne!