Kostenlose SSL-Zertifikate - die bessere Alternative?

29.06.2020
extendedLogo

Seit September 2019 hat sich die Darstellung von sicheren (verschlüsselten) Websites auf den meisten Endgeräten grundlegend geändert. Gibt es noch Argumente, die für teure und aufwendige Extended-Validation-Zertifikate (EV-Zertifikate) sprechen?

Reminder: Welche Aufgaben erfüllt eigentlich ein SSL-Zertifikat?

Grundsätzlich kann jede unverschlüsselte Datenübertragung im Internet "abgehört" und im schlimmsten Fall auch manipuliert werden. Verfügt die Website aber über ein gültiges Sicherheitszertifikat, entsteht eine verschlüsselte Verbindung und die Datenübertragung wird geschützt. Daher gilt, dass insbesondere, wenn über eine Website sensible Daten abgefragt werden, dies ausschließlich über verschlüsselte Seiten erfolgen sollte.

Spätestens seit am 25. Mai 2018 die Europäische Datenschutzverordnung (DSGVO) in Kraft getreten ist, dürfen in der EU generell personenbezogenen Daten nur noch verschlüsselt übertragen werden. Dies bedeutet, dass jede Website verschlüsselt sein muss, wenn auf ihr persönliche Daten erhoben werden, sogar wenn es sich um ein einfaches Kontaktformular handelt. Für die Verschlüsselung der Datenübertragung beim Aufruf einer Website sorgt ein sogenanntes SSL- bzw. TLS-Zertifikat.

SSL ist die Abkürzung für „Secure Sockets Layer“ und verschlüsselt die Daten, die zwischen Rechner und Server transportiert werden. Mit der Weiterentwicklung von SSL kam in der Version 3.1 auch ein neuer Name. Seitdem wäre es eigentlich korrekt von TLS ("Transport Layer Security") zu sprechen. Da sich der Begriff jedoch im Sprachgebrauch nicht durchsetzen konnte, werden SSL und TLS synonym gebraucht. Wir haben uns daher auch entschlossen im Folgenden durchgängig den Begriff SSL zu nutzen.

Das SSL-Zertifikat ist ein Datensatz, welcher einen oder mehrere Domainnamen mit kryptografischen Daten zu deren Identifikation verknüpft. So ist die Authentifizierung des Servers bzw. der Webseite möglich. Bei einer Session findet dann eine Ende-zu-Ende-Datenübertragung mithilfe symmetrischer Verschlüsselungen statt, die durch die Nutzung eines gemeinsamen Sitzungsschlüssels möglich wird. Hierdurch wird die Verschlüsselung auf der Transportschicht sichergestellt.

Was sind die Vorteile von SSL-Zertifikaten?

Über den Sicherheitsaspekt hinaus, bietet der Einsatz von SSL-Zertifikaten weitere Vorteile - für den Nutzer, aber auch den Webseiten-Betreiber:

Mehr Vertrauen: Anwender haben mehr Vertrauen in gesicherte Websites und fühlen sich vor Phishing-Angriffen sicher.

Erhöhte Konversion: Die Hemmschwelle, einen Bezahlvorgang zu initiieren, ist für Kunden auf einer geschützten Website niedriger.

Erhöhte Kundenbindung: Kunden, die sich auf einer Website sicher fühlen, werden diese gegenüber einer ungeschützten Seite bevorzugen und ebenso wird ein wiederholter Besuch wahrscheinlicher.

Bessere Google-Rankings: HTTPS-Seiten werden von Google höher bewertet als unverschlüsselte Seiten.

Schnellere Ladezeiten: neue Technologien wie HTTP/2 und QUIC werden von Browsern nur über eine verschlüsselte Verbindung unterstützt.

Welche SSL-Zertifikate gibt es

Ein SSL-Zertifikat wird immer für eine bestimmte Domain (z.B. www.maxcluster.de) ausgestellt. Es wird dabei geprüft, ob der Antragssteller tatsächlich Eigentümer der Domain ist oder zumindest als Dienstleister die Berechtigung besitzt bzw. die Kontrolle hat, ein Zertifikat für diese Domain einzurichten. Diese Überprüfung dient dazu, zu verhindern, dass sich Kriminelle ein Zertifikat für eine fremde Domain einrichten können.

Je aufwändiger diese Überprüfung bzw. Validierung, desto sicherer ist das entsprechende Zertifikat. Dritte Personen, wie beispielsweise der Internetanbieter können in diesem Falle Sessions nicht entschlüsseln.

Wie unterscheiden sich also die verschiedenen Klassen der Sicherheitszertifikate?

Es gibt drei Klassen von Sicherheitszertifikaten, die alle dem Zweck der Authentifizierung des Servers/Webseite für die Kommunikation zwischen einem Browser und einer Website dienen:

Domain-Validated-Zertifikate (DV-Zertifikate): Bei diesem Zertifikat wird überprüft, ob der Antragsteller auch der Domaininhaber ist bzw. ob er die Kontrolle über die Domain hat. Hierfür wird zumeist eine Datei mit speziellem Namen unter der Domain abgelegt oder es wird eine E-Mail, die eine Bestätigung erfordert, an eine Mailadresse der Domain gesendet. Eine dritte Möglichkeit sind spezielle DNS-Einträge. Auf diese Weise wird die HTTPS-Seite verschlüsselt und die erfolgreiche Verschlüsselung durch das Schloss-Icon in der Adressleiste des Webbrowsers angezeigt.

Organisation-Validated-Zertifikate (OV-Zertifikate): Bei diesem Zertifikat prüft die Certification Authority (CA) nicht nur den Domaininhaber, sondern zusätzlich die Existenz des Unternehmens und die Befugnis des Antragstellers, das Zertifikat zu beantragen. Kenntlich gemacht wird die Sicherheit der Website wie auch bei den DV-Zertifikaten auch hierbei durch das Schloss-Icon in der Adressleiste.

Extended-Validation-Zertifikate (EV-Zertifikate): Da das beantragende Unternehmen äußerst gründlich nach der EV-Richtlinie überprüft wird, besitzt dieses Zertifikat die höchste Vertrauensstufe. Diese wird dadurch sichtbar gemacht, dass in der Adressleiste des Webbrowsers zusätzlich zum Schloss-Icon der Unternehmensname in grüner Schrift genannt bzw. grün hinterlegt wird bzw. wurde.

Braucht noch jemand EV-Zertifikate?

Im Gegensatz zu DV- und OV-Zertifikaten können Extended-Validation-Zertifikate nur von einer ausgewählten Gruppe von Zertifizierungsstellen (CAs) ausgestellt werden. Die langwierige Prüfung der Identität des Antragstellers macht diese Zertifikate sicherer, aber vor allem auch teurer für den Antragsteller.

Ziel der umfangreichen Prüfung ist es, den Nutzern die Gewissheit zu geben, dass sie sich an ihrem beabsichtigten Ziel befinden. Es soll so sichtbar gemacht werden, dass beispielsweise die Website www.maxcluster.de ihrem rechtmäßigen Eigentümer gehört und nicht eine Tarn-Adresse ist, die zum Phishing genutzt wird oder mit Malware vollgepackt ist. Die zusätzliche Überprüfung garantiert jedoch nicht per se, dass die jeweilige Seite wirklich sicher ist, wie ein Beispiel auf folgender Seite zeigt.

Welche anderen Argumente könnte es noch für EV-Zertifikate geben?

Mehr Schutz für den User?

Wie beschrieben ist das Ziel eines SSL-Zertifikats, dem Nutzer die Sicherheit zu vermitteln, dass er sich auf einer geschützten Website befindet. Um diese Information möglichst einfach und sichtbar zu vermitteln, wurde bei EV-Zertifikaten nicht nur ein Schloss-Icon in der Adressleiste des Browsers verwendet, sondern darüber hinaus auch die verifizierte rechtliche Identität der Domain in der Adressleiste mit einem grün hinterlegten Feld dargestellt. Mit rechtlicher Identität ist hier der Firmenname des Unternehmens, für welches das Zertifikat ausgestellt wurde, gemeint (siehe Beispiele weiter unten).

Unterschiedliche Darstellung von EV-Zertifikaten in BrowsernVerschiedene Darstellungen der EV-Zertifikate in unterschiedlichen Browsern | Quelle

Wie sich allerdings bei verschiedenen Tests herausstellte, achten Probanden weniger darauf, mit welcher Art eines Zertifikats die genutzte Internetseite gesichert ist. Für sie hat der grün hinterlegte Firmenname geringere Bedeutung. Ausschlaggebend für das Sicherheitsgefühl von Website-Nutzern ist vor allem das Schloss-Icon, welches für sie eine geschützte Verbindung symbolisiert.

Das Ende von EV-Zertifikaten in der Browser-Darstellung

Auf Basis dieser Erfahrungen haben Google und Mozilla beschlossen, in ihren Chrome- bzw. Firefox-Desktopbrowsern die visuellen Signale der EV-Zertifikate zu entfernen.

Googles Chrome77 (seit 10.09.2019) zeigt die Information nun nicht mehr in der Adresszeile, sondern im Seiten-Pop-up, wenn man auf das Schloss-Icon klickt:

Darstellung von SSL-Zertifikaten in Google ChromeDarstellung von EV-Zertifikaten in Google Chrome | Quelle

Vorher-nachher-Vergleich der Darstellung von EV-Zertifikaten in ChromeVorher-nachher-Vergleich der Darstellung von EV-Zertifikaten in Chrome | Quelle

Firefox von Mozilla verzichtet seit Version 70 (22.10.2019) ebenfalls auf die ursprüngliche Darstellung:

Vorher-nachher-Vergleich der Darstellung von EV-Zertifikaten in FirefoxVorher-nachher-Vergleich der Darstellung von EV-Zertifikaten in Firefox | Quelle

Apples Safari verzichtet zwar seit Version 12 bereits auf das Aufführen des Unternehmens, färbt aber die URL weiterhin grün ein. Und Microsoft Edge hat von jeher auf alle EV-Indikatoren verzichtet.

Nachdem nun auch Google und Mozilla die Hervorhebung von EV-Zertifikaten gestrichen haben, gibt es kaum Argumente mehr, die für den Einsatz eines teuren EV-Zertifikats sprechen. Kostenlose SSL-Zertifikate, wie die von "Let's Encrypt" bieten den gleichen Verschlüsselungsschutz und verzichten lediglich auf die aufwändige Unternehmensvalidierung, die dem Nutzer eigentlich keinen Mehrwert liefert. Die Domain an sich wird jedoch weiterhin geprüft - die kurze Gültigkeit der Zertifikate von lediglich drei Monaten erhöht sogar in einem gewissen Sinne die Sicherheit.

Die bessere Alternative? Verschlüsselung mit Let's Encrypt!

Let's Encrypt Logo

Was ist Let's Encrypt

Die kostenfreien Zertifikate von Let's Encrypt werden von der Internet Security Research Group (ISRG) ausgestellt, einer gemeinnützigen Nonprofit-Organisation mit Sitz in San Francisco. Diese Zertifizierungsstelle, die unter anderem von Mozilla, GitHub, Cisco und Facebook gesponsort wird, hat das Ziel, allen Nutzern und Unternehmen kostenlose SSL-Zertifikate zur Verfügung zu stellen. Mit dem von Let's Encrypt eingeführten ACME-Protokoll erfolgt die Erstellung, Validierung und Verlängerung der Zertifikate automatisiert mit dem erstellten Schlüssel, der später über ein mehrschichtiges System abgefragt wird.

Diese Kombination an Vorteilen hat für schnell steigende Nutzerzahlen gesorgt. Besonders seit Mitte 2018 erfreut sich der Anbieter kostenloser SSL-Zertifikate hoher Beliebheit. Wie auf der Grafik weiter unten erkennbar ist, steigt die Zahl der per Let's Encrypt verschlüsselten Domains seit Anfang 2020 außerdem noch einmal deutlich an.

Die Entwicklung von Let's Encrypt-Zertifizierungen seit Start der Initiative - Stand: 12/2020Die Entwicklung von Let's Encrypt-Zertifizierungen seit Start der Initiative - Stand: 12/2020 | Quelle

Let's Encrypt bei maxcluster

Bereits seit Anfang 2018 bieten wir unseren Kunden die Möglichkeit Let's Encrypt Zertifikate schnell und einfach einzubinden. Den "Certbot", die technische Grundlage für das ACME-Protokoll haben wir in unserem Managed Center integriert, so dass der Webseiten-Betreiber auch hierfür die bekannte Oberfläche nicht verlassen muss. Dabei spielt es im Übrigen keine Rolle, ob Sie einen Apache oder NGINX Webserver verwenden – maxcluster unterstützt beide gleichermaßen.

In unserem Managed Center kann nicht nur die Validierung des Zertifikats erfolgen, sondern auch die voll automatisierte Erneuerung des Zertifikats. Hierdurch entfällt bei der Verwendung auch die zeitraubende Kommunikation bezüglich Kostenfreigaben und Informationsvalidierung zwischen Agentur, Onlineshop-Betreiber und Hoster.

So gehen Sie vor:

Wählen Sie zunächst Ihren Webserver aus und rufen Sie entsprechend Ihrer Situation - neue oder bestehende Domain - die Rubrik „Neue Domain“ oder „Domain bearbeiten“ auf. Im Bereich „Allgemein“ tragen Sie Ihre Domain ein, speichern diese und wählen anschließend den Reiter „SSL“ aus.

Let's Encrypt bei maxcluster einrichten – Domain eingebenLet's Encrypt bei maxcluster einrichten – Domain eingeben

Setzen Sie dann bei „Let's Encrypt Zertifikat“ einen Haken und bestätigen im Anschluss Ihre IP-Adresse. Wir empfehlen zudem, je einen Haken bei „Automatisch auf SSL weiterleiten“ und „Ablaufdatum des Zertifikats überwachen“ zu setzen, denn hiermit aktivieren Sie die Überwachung Ihrer Zertifikate durch den maxcluster-Support. Wir empfehlen dies, denn es erlaubt unserem Support im Falle eines Fehlers oder eines ablaufenden Zertifikats schnell reagieren zu können. Sollte beispielsweise der Certbot von Let's Encrypt ein Zertifikat einmal nicht automatisch erneuern, können wir im Support entsprechend reagieren, so dass Sie immer umfassend abgesichert sind.

Let's Encrypt bei maxcluster einrichten – IP-Adresse auswählenLet's Encrypt bei maxcluster einrichten – IP-Adresse auswählen

Die durch Let's Encrypt vorgegebenen Restriktionen hinsichtlich der Aktivierung oder Änderung eines Zertifikats stellen wir Ihnen einfach und nachvollziehbar im Managed Center dar. Die zugrundeliegenden Regeln können Sie in der Let's Encrypt Dokumentation nachlesen.

Ansicht des Let's Encrypt Limits bei maxclusterAnsicht des Let's Encrypt Limits

Ist das Let's Encrypt-Zertifikat einmal eingerichtet, müssen Sie nicht weiter tätig werden: Wir sorgen sowohl für die Verlängerung des Zertifikats als auch für dessen Aktualisierung, sollten sich Änderungen an Ihrer Domain ergeben.

Wir beraten Sie gerne!

Die Sicherheit und Performance Ihres Onlineshops hat für uns oberste Priorität. So haben wir auch unser neues Produktfeature ShopSecurity auf dieser Basis entwickelt. Wir stehen Ihnen gerne zu allen Fragen rund um das Thema Sicherheit zur Verfügung und freuen uns über Ihre Nachricht per E-Mail an beratung@maxcluster.de oder Ihren Anruf unter 05251 / 41 41 30.


Veröffentlicht am 11.03.2020 | NM