Blog durchsuchen

Kostenlose SSL-Zertifikate - sicher und gut

extendedLogo

Grundsätzlich kann jede unverschlüsselte Datenübertragung im Internet "abgehört" und im schlimmsten Fall auch manipuliert werden. Verfügt die Website aber über ein gültiges Sicherheitszertifikat, entsteht eine verschlüsselte Verbindung und die Datenübertragung wird geschützt. Daher gilt, dass insbesondere, wenn über eine Website sensible Daten abgefragt werden, dies ausschließlich über verschlüsselte Seiten erfolgen sollte. 

Spätestens seit am 25. Mai 2018 die Europäische Datenschutzverordnung (DSGVO) in Kraft getreten ist, dürfen in der EU generell personenbezogenen Daten nur noch verschlüsselt übertragen werden. Dies bedeutet, dass jede Website verschlüsselt sein muss, wenn auf ihr persönliche Daten erhoben werden, sogar wenn es sich um ein einfaches Kontaktformular handelt. Für die Verschlüsselung der Datenübertragung beim Aufruf einer Website sorgt ein sogenanntes SSL- bzw. TLS-Zertifikat.

Welche Aufgaben erfüllt ein SSL-Zertifikat?

SSL ist die Abkürzung für „Secure Sockets Layer“  und verschlüsselt die Daten, die zwischen Rechner und Server transportiert werden. Die Weiterentwicklung von SSL heißt TLS, was für "Transport Layer Security" steht (SSL wurde mit Version 3.1 in TLS 1.0 umbenannt). Der Begriff SSL hat sich jedoch im täglichen Sprachgebrauch durchgesetzt, so dass im folgenden auch weiterhin nur von SSL die Rede sein wird.

Das SSL-Zertifikat ist ein Datensatz, welcher einen oder mehrere Domainnamen mit kryptografische Daten zu deren Identifikation verknüpft. So ist die Authentifizierung des Servers bzw. der Webseite möglich. Bei einer Session findet dann eine Ende-zu-Ende-Datenübertragung mithilfe symmetrischer Verschlüsselungen statt, die durch die Nutzung eines gemeinsamen Sitzungsschlüssels möglich wird. Hierdurch wird die Verschlüsselung auf der Transportschicht sichergestellt.

Was sind die Vorteile von SSL-Zertifikaten?

Über den Sicherheitsaspekt hinaus, bietet der Einsatz von SSL-Zertifikaten weitere Vorteile - für den Nutzer, aber auch den Webseiten-Betreiber:

  • Mehr Vertrauen: Anwender haben mehr Vertrauen in gesicherte Websites und fühlen sich vor Phishing-Angriffen sicher.
  • Erhöhte Konversion: Die Hemmschwelle, einen Bezahlvorgang zu initiieren, ist für Kunden auf einer geschützten Website niedriger.
  • Erhöhte Kundenbindung: Kunden, die sich auf einer Website sicher fühlen, werden diese gegenüber einer ungeschützten Seite bevorzugen und ebenso wird ein wiederholter Besuch wahrscheinlicher.
  • Bessere Google-Rankings: HTTPS-Seiten werden von Google höher bewertet als unverschlüsselte Seiten.
  • Schnellere Ladezeiten: neue Technologien wie HTTP/2, QUIC und Brotli werden von Browsern nur über eine verschlüsselte Verbindung unterstützt.

Welche SSL-Zertifikate gibt es

Ein SSL-Zertifikat wird immer für eine bestimmte Domain (z.B. www.maxcluster.de) ausgestellt. Es wird dabei geprüft, ob der Antragssteller tatsächlich Eigentümer der Domain ist oder zumindest als Dienstleister die Berechtigung besitzt, ein Zertifikat für diese Domain einzurichten. Diese Überprüfung dient dazu, zu verhindern, dass sich Kriminelle ein Zertifikat für eine fremde Domain einrichten können. Sie können sich dabei jedoch lediglich als die tatsächlichen Eigentümer ausgeben, jedoch weder eine vorherige Verschlüsselung noch laufende Sessions entschlüsseln. Je aufwändiger diese Überprüfung bzw. Validierung, ob Domaininhaber und Zertifikatsbesitzer dieselbe Person oder dasselbe Unternehmen sind, ist, desto sicherer ist das entsprechende Zertifikat.

Es gibt drei Klassen von Sicherheitszertifikaten, die alle dem Zweck der Authentifizierung des Servers/Webseite für die Kommunikation zwischen einem Browser und einer Website dienen:

  • Domain-Validated-Zertifikate (DV-Zertifikate): Bei diesem Zertifikat wird überprüft, ob der Antragsteller auch der Domaininhaber ist. Hierfür wird zumeist eine Datei mit speziellem Namen unter der Domain abgelegt oder es wird eine E-Mail, die eine Bestätigung erfordert, an eine Mailadresse der Domain gesendet. Eine dritte Möglichkeit sind spezielle DNS-Einträge. Auf diese Weise wird die HTTPS-Seite verschlüsselt und die erfolgreiche Verschlüsselung durch das Schloss-Icon in der Adressleiste des Webbrowsers angezeigt.
  • Organisation-Validated-Zertifikate (OV-Zertifikate): Bei diesem Zertifikat prüft die Certification Authority (CA) nicht nur den Domaininhaber, sondern zusätzlich die Existenz des Unternehmens und die Befugnis des Antragstellers, das Zertifikat zu beantragen. Kenntlich gemacht wird die  Sicherheit der Website wie auch bei den DV-Zertifikaten auch hierbei durch das Schloss-Icon in der Adressleiste.
  • Extended-Validation-Zertifikate (EV-Zertifikate): Da das beantragende Unternehmen äußerst gründlich nach der EV-Richtlinie überprüft wird, besitzt dieses Zertifikat die höchste Vertrauensstufe. Diese wird dadurch sichtbar gemacht, dass in der Adressleiste des Webbrowsers zusätzlich zum Schloss-Icon der Unternehmensname in grüner Schrift genannt bzw. grün hinterlegt wird.

Die Extended-Validation-Zertifikate (EV-Zertifikate)

Im Gegensatz zu DV- und OV-Zertifikaten können Extended-Validation-Zertifikate nur von einer ausgewählten Gruppe von Zertifizierungsstellen (CAs) ausgestellt werden. Die langwierige Prüfung der Identität des Antragstellers macht diese Zertifikate sicherer, aber vor allem auch teurer für den Antragsteller. Ziel der umfangreichen Prüfung ist es, den Nutzern die Gewissheit zu geben, dass sie sich an ihrem beabsichtigten Ziel befinden. Es soll so sichtbar gemacht werden, dass beispielsweise die Website www.maxcluster.de ihrem rechtmäßigen Eigentümer gehört und nicht eine Tarn-Adresse ist, die zum Phishing genutzt wird oder mit Malware vollgepackt ist. Die zusätzliche Überprüfung garantiert jedoch nicht per se, dass die jeweilige Seite wirklich sicher ist, wie ein Beispiel auf folgender Seite zeigt: https://www.cyberscoop.com/easy-fake-extended-validation-certificates-research-shows/.

Schutz für den User

Wie beschrieben ist das Ziel eines SSL-Zertifikats, dem Nutzer die Sicherheit zu vermitteln, dass er sich auf einer geschützten Website befindet. Um dem Nutzer dieses auf eine einfache und sichtbare Weise zu vermitteln, wurde bei EV-Zertifikaten nicht nur das Schloss-Icon verwendet, sondern darüber hinaus auch die verifizierte rechtliche Identität (der Firmenname des Unternehmens, für welches das Zertifikat ausgestellt wurde) der Domain in der Adressleiste mit einem grün hinterlegten Feld dargestellt. 

Verschiedene Darstellungen der EV-Zertifikate in unterschiedlichen Browsern (Quelle: https://www.globalsign.com/de-de/ssl-information-center/was-ist-ein-extended-validation-zertifikat/)

Wie sich bei verschiedenen Tests herausstellte, achten Besucher jedoch weniger darauf, mit welcher Art eines Zertifikats die genutzte Internetseite gesichert ist. Für sie hat der grün hinterlegte Firmenname geringere Bedeutung, ausschlaggebend ist das Schloss-Icon, das für sie den Schutz symbolisiert.

Das Ende von EV-Zertifikaten in der Browser-Darstellung

Auf Basis dieser Erfahrungen haben Google und Mozilla beschlossen, in ihren Chrome- bzw. Firefox-Desktopbrowsern die visuellen Signale der EV-Zertifikate zu entfernen. 

Googles Chrome77 (seit 10.09.2019) zeigt die Information nun nicht mehr in der Adresszeile, sondern im Seiten-Pop-up, wenn man auf das Schloss-Icon klickt:

Darstellung von EV-Zertifikaten in Google Chrome (Quelle: https://chromium.googlesource.com/chromium/src/+/HEAD/docs/security/ev-to-page-info.md)

Die Unterschiede der Darstellung in Chrome (Quelle: https://www.bleepingcomputer.com/news/software/chrome-and-firefox-changes-spark-the-end-of-ev-certificates/)

Firefox70 (22.10.2019) von Mozilla verzichtet nun ebenfalls auf die ursprüngliche Darstellung:

Die Unterschiede der Darstellung in Firefox (Quelle: https://www.bleepingcomputer.com/news/software/chrome-and-firefox-changes-spark-the-end-of-ev-certificates/)

Apples Safari verzichtet zwar seit Version 12 bereits auf das Aufführen des Unternehmens, färbt aber die URL weiterhin grün ein. Edge hingegen vermeidet von jeher jegliche EV-Indikatoren.

Kostenlos und sicher – Verschlüsselung mit Let´s Encrypt

Nachdem nun auch Google und Mozilla die Hervorhebung von EV-Zertifikaten gestrichen haben, gibt es kaum Argumente mehr, die für den Einsatz eines teuren EV-Zertifikats sprechen. Kostenlose SSL-Zertifikate, wie die von "Let´s Encrypt" bieten den gleichen Verschlüsselungsschutz und verzichten lediglich auf die aufwändige Authentifizierung, die dem Nutzer keinen Mehrwert liefert.

Was ist Let´s Encrypt

Die kostenfreien Zertifikate von Let´s Encrypt werden von der Internet Security Research Group (ISRG) ausgestellt, einer gemeinnützigen Nonprofit-Organisation mit Sitz in San Francisco. Diese Zertifizierungsstelle, die unter anderem von Mozilla, GitHub, Cisco und Facebook gesponsort wird, hat das Ziel hat, allen Nutzern und Unternehmen kostenlose SSL-Zertifikate zur Verfügung zu stellen. Mit dem von Let´s Encrypt eingeführten ACME-Protokoll erfolgt die Erstellung, Validierung und Verlängerung der Zertifikate automatisiert mit dem erstellten Schlüssel, der später über ein mehrschichtiges System abgefragt wird.

Die Entwicklung von Let´s Encrypt-Zertifizierungen seit Start der Initiative ([Quelle](https://letsencrypt.org/de/stats/))

Let´s encrypt bei maxcluster

Bereits seit Anfang 2018 bieten wir unseren Kunden die Möglichkeit "Let´s Encrypt" schnell und einfach einzubinden. Den "Certbot", die technische Grundlage für das ACME-Protokoll haben wir in unserem Managed Center integriert, so dass der Webseiten-Betreiber auch hierfür die bekannte Oberfläche nicht verlassen muss. Hierüber kann nicht nur die Validierung des Zertifikats erfolgen, sondern auch die Zertifikatserneuerung, die durch einen voll automatisierten Prozess erfolgt. Hierdurch entfällt bei der Verwendung dieses kostenlosen SSL-Zertifikats auch die zeitraubende  Kommunikation bezüglich Kostenfreigaben und Informationsvalidierung zwischen Agentur, Onlineshop-Betreiber und Hoster.

Die Aktivierung des Let’s Encrypt-Zertifikats für Ihre neue oder bestehende Domain erfolgt bequem, mit wenigen Klicks, über das Managed Center. Dabei spielt es im Übrigen keine Rolle, ob Sie einen Apache oder NGINX Webserver verwenden – maxcluster unterstützt beide gleichermaßen.

Wie gehen Sie vor:

  • Wählen Sie zunächst Ihren Webserver aus und rufen Sie entsprechend Ihrer Situation - neue oder bestehende Domain - die Rubrik „Neue Domain“ oder „Domain bearbeiten“ auf.  Im Bereich „Allgemein“ tragen Sie Ihre Domain ein, speichern diese und wählen anschließend den Reiter „SSL“ aus.

Let’s Encrypt bei maxcluster einrichten – Domain eingeben

  • Setzen Sie dann bei „Let’s Encrypt Zertifikat“ einen Haken und bestätigen im Anschluss Ihre IP-Adresse. Wir empfehlen zudem, je einen Haken bei „Automatisch auf SSL weiterleiten“ und „Ablaufdatum des Zertifikats überwachen“ zu setzen, denn hiermit aktivieren Sie die Überwachung Ihrer Zertifikate durch den maxcluster-Support. Wir empfehlen dies, denn es erlaubt unserem Support im Falle eines Fehlers oder eines ablaufenden Zertifikats schnell reagieren zu können. Sollte beispielsweise der Certbot von Let’s Encrypt ein Zertifikat einmal nicht automatisch erneuern, können wir im Support entsprechend reagieren, so dass Sie immer umfassend abgesichert sind. 

Let’s Encrypt bei maxcluster einrichten – IP-Adresse eingeben

  • Die durch Let’s Encrypt vorgegebenen Restriktionen hinsichtlich der Aktivierung oder Änderung eines Zertifikats stellen wir Ihnen einfach und nachvollziehbar im Managed Center dar. Die zugrundeliegenden Regeln können Sie in der Let’s Encrypt Dokumentation nachlesen.

Ansicht des Let’s Encrypt Limits

  • Ist das Let’s Encrypt-Zertifikat einmal eingerichtet, müssen Sie nicht weiter tätig werden: Wir sorgen sowohl für die Verlängerung des Zertifikats als auch für dessen Aktualisierung, sollten sich Änderungen an Ihrer Domain ergeben.

Wir beraten Sie 

Die Sicherheit und Performance Ihres Onlineshops hat für uns oberste Priorität. So haben wir auch unser neues Produktfeature ShopSecurity auf dieser Basis entwickelt. Wir stehen Ihnen gerne zu allen Fragen rund um das Thema Sicherheit zur Verfügung und freuen uns über Ihre Nachricht per E-Mail an beratung@maxcluster.de oder Ihren Anruf unter 05251/ 41 41 30.

Sie haben Fragen, Wünsche, Kritik, Anregungen oder wollen uns einfach mal Ihre Meinung zu unserem Blog mitteilen? Hier haben Sie Gelegenheit, direkt mit uns in Kontakt zu treten.

E-Mail senden