 |
 |
 |
 |
 |
SSL-Zertifikate
SSL Zertifikate sind aus dem klassischen Webhosting nicht mehr wegzudenken. Vielen ist aber meist gar nicht klar was ein SSL Zertifikat überhaupt ist. Daher möchten wir in diesem Blog einen kleinen Einblick in die Welt der Zertifikate wagen.
Was ist ein SSL-Zertifikat und woraus besteht dieses?
SSL steht für Secure Sockets Layer und ist einfach ausgedrückt ein Verschlüsselungsprotokoll zur sicheren Datenübertragung im Internet. Ob eine Webseite verschlüsselt ausgeliefert wird, entscheidet zum einen der Admin einer Seite und bei Bedarf auch der Besucher. Besucher können die Verschlüsselung durch Anfügen von https:// vor einer Domain anfordern. Der Browser signalisiert dann durch ein Schloss-Symbol, dass alles in Ordnung ist. Das https Kürzel entfernt dann meist der Browser automatisch. Hinsichtlich des Schlosssymbols gibt es noch Einschränkungen, dazu aber später mehr.
Themen:
- Benötige ich ein SSL-Zertifikat?
- Wie funktioniert ein SSL-Zertifikat?
- Welche Arten von SSL-Zertifikaten gibt es bei Webhostone?
- Tipps und Tricks beim SSL
- Hauptdomain oder Subdomain?
- Fazit
Ein SSL-Zertifikat besteht aus den folgenden 4 Komponenten, die jede für sich nichtssagende Buchstaben- und Zahlenkombinationen darstellen:
-----BEGIN .....-----
MIIC7DCCAdQCAQAwgaYxCzAJBgNVBAYTAkRFMRswGQYDVQQIDBJCYWRlbi1Xw7xy
dHRlbWJlcmcxFzAVBgNVBAcMDkJhZCBTw6Rja2luZ2VuMRgwFgYDVQQKDA9XZWJo
b3N0T25lIEdtYkgxCjAIBgNVBAsMAS0xGDAWBgNVBAMMD2xldHMtdGVzdC1pdC5k
......gekürzt .....-----
- CSR (Certificate Signing Request)
Das CSR enthält den öffentlichen Schlüssel eines Schlüsselpaares (Public Key) und einige zusätzliche Informationen. Diese Informationen werden für das Haupt-Zertifikat der Zertifizierungsstelle benötigt und werden aus diesen Grund auch an jene übertragen. Im CSR werden z.B. Informationen zur Domain hinterlegt aber auch Informationen zum Inhaber.
- Private Key
Sämtliche übermittelte Webdaten beim Surfen werden mit der Public-Key verschlüsselt, und über den Private Key wieder entschlüsselt. Wie der Name bereits sagt, handelt es sich hierbei um einen privaten Schlüssel, welcher nicht öffentlich zugänglich ist. Dieser wird vom Server generiert, auf dem anschließend auch das Zertifikat hinterlegt wird.
- CRT (Certificate)
Hierbei handelt es sich um das fertige Zertifikat, welches von der Zertifizierungsstelle erstellt wird. Die Zertifizierungsstelle bestätigt durch eine Signatur die Echtheit des Zertifikats.
- CA-Chain (Certificate Authority)
Auf dem jeweiligen Endgerät des Webseitenbesuchers sind sogenannte Rootzertifikate der großen vertrauenswürdigen Anbieter hinterlegt. Diese werden vom Softwarehersteller mit der Software ausgeliefert und von Zeit zu Zeit aktualisiert. Was passiert aber mit Endgeräten, die nicht regelmäßige Updates erhalten? Hier kommt die CA-Chain ins Spiel.
Bei der CA-Chain handelt es sich um Zwischenzertifikate, welche von der Zertifizierungsstelle erstellt werden. Diese Zertifikate sind notwendig, falls im Client ältere Root-Zertifikate vorhanden sind, wodurch die Zwischenzertifikate eine „Brücke“ herstellen und es so zu einer „Kette“ des Vertrauens kommt. Die Zwischenzertifikate enthalten die Signatur der Zertifizierungsstelle.
Eine durch ein SSL geschützte Webseite wirkt professioneller und vermittelt den Besuchern ein Gefühl der Sicherheit. Zudem erhält ein Webseiten-Besucher eine Warnmeldung, falls die Webseite kein SSL-Zertifikat verfügt, wodurch diese einen abschreckenden Eindruck macht und die Webseitenbesucher vermutlich die Seite schließen werden. Ein weiteres Argument ist, dass seit Mai 2018 die SSL-Verschlüsselung von Websites aufgrund der DSGVO ein Muss ist. Erst recht, wenn Sie Kundendaten über Ihre Webseite entgegennehmen. Hierzu zählen z.B. Kontaktformular oder Login-Masken. Generell empfiehlt es sich immer ein SSL-Zertifikat zu verwenden.
Sämtliche Daten die der Client (Browser) an den Server sendet, werden durch den öffentlichen Public Key welcher der Browser vom Server empfängt verschlüsselt. Sobald die Daten den Server erreichen, kann dieser die Daten mit dem Private Key entschlüsseln und die Daten auslesen. Hierdurch werden z.B „Man in the middle“-Angriffe unterbunden, da dieser ohne den Private Key, die Daten nicht auslesen kann.
Derzeit können Sie über uns 2 verschiedene Arten von SSL-Zertifikaten buchen. Hierbei wird unterschieden, ob es sich um ein Domainvalidiertes-Zertifikat handelt, oder um ein Organisationsvalidiertes-Zertifikat.
Unsere SSL-Zertifikate finden Sie unter dem folgenden Link:
Weitere Informationen über unsere Zertifikate:
- DV-Zertifikat (Domainvalidiert)
Bei domainvalidierten Zertifikaten wird die Inhaberschaft der Domain überprüft. Der Domaininhaber muss dabei dem Zertifikatsinhaber entsprechen und ein technischer Zugriff auf die Domain wird kontrolliert (z.B. per E-Mail, DNS-Record oder Webzugriff)
Im Single SSL ist ein Domainaufruf enthalten, im Multi SSL entsprechend 3 (weitere Domains gegen Aufpreis möglich) und im Wildcard SSL beliebig viele Subdomains eines Domainnamens. Wir kümmern uns hierbei um die Bereitstellung, wenn Sie ein Zertifikat über uns buchen.
Hierbei gehört das Generieren eines Private Key und CSR, die Beantragung bei der Zertifizierungsstelle, die Wartung sowie die Verlängerung bei Auslauf des Zertifikates.
- OV-Zertifikate (Organisationsvalidierten Zertifikaten)
Da bei organisationsvalidierten Zertifikaten (OV-SSL) oder Business Zertifikaten auch die Inhaberschaft der Firma geprüft wird, müssen die Whois Daten der Domain und auch die Daten aus dem Handelsregister zusammenpassen. Wie der Name bereits sagt, handelt es sich hierbei um ein Zertifikat für Organisationen, eine Ausstellung für Privatpersonen ist daher nicht möglich
Neben der Datenprüfung erfolgt auch eine menschliche Kontrolle. Für den hierfür erforderlichen Telefonanruf muss die Firma zudem in einem öffentlichen Telefonverzeichnis gelistet sein: Bei diesen Zertifikaten wird die Organisation auch im Zertifikat hinterlegt und ist für den Besucher einsehbar. Speziell bei Shopsystemen oder bevor ein Auftrag eingereicht wird bietet diese Kontrolle die nötige Sicherheit ob ein Unternehmen auch wirklich existiert.
- Vermeiden von Mixed-Content
Wenn Sie ein SSL Zertifikat einsetzen, gilt die Devise „ganz oder gar nicht“. Sämtliche ausgelieferten Ressourcen sollten per https:// erreichbar sein. Speziell auch diese die Sie von fremden Webseiten (Bilder, etc.) bei sich selbst einbinden. Wenn Sie hierbei nicht gründlich vorgehen, zeigt der Browser ein anderes Schlosssymbol an.
Um die Ursachen für Mixed Content zu finden können Sie hier z.B. den Firefox-Browser verwenden, auf diesem können Sie sich mit einem Klick auf das Schlosssymbol anzeigen lassen, welche Medien per https eingebunden sind und welche nicht.
Vermeiden Sie identische-Aufrufe Ihrer Webseite, entscheiden Sie über welche Domain Ihre Webseite aufrufbar sein soll und leiten Sie die andere auf diese weiter.
z.B: Entscheiden Sie, ob Ihre Domain über „maxmusterman.de“ aufrufbar sein soll, oder über www.maxmusterman.de . Die Zieldomain wird dann mit einem SSL abgesichert. Sollte Ihre Webseite unter 2 verschiedenen Domains den gleichen Inhalt anzeigen könnte es sein, dass Google dies als Duplicate-Content abstraft. Diese Theorie ist aber umstritten. Viele unserer Kunden halten sich aber um sicher zu gehen an diese Regel.
Innerhalb der Suchmaschinenoptimierung (SEO) ist der Einsatz von SSL ein wichtiger Bestandteil, wir würden sagen auch generell, da beim Einsatz von SSL Vertrauen bei den Suchmaschinen aber auch Sicherheit gegenüber Nutzern entsteht und dies auch durch die DSGVO reguliert wurde. Informationen bzw. personenbezogene Daten werden mittels SSL/TLS gesichert übertragen. Sie sollten nicht nur aufgrund von Ranking-Faktoren ein derartiges Protokoll einsetzen.
Euer WebhostOne Team
