Spätestens seit dem Auftauchen der OpenSSL-Heartbleed-Lücke, den Snowden-Enthüllungen und den Phishing-Wellen sollten Anwender zumindest Basiskenntnisse über das Thema SSL-Zertifikate haben. Und Anbieter benötigen Wissen zur Zertifkatsauswahl. Möglicherweise ist es aber für den einen oder andere Blog-Leser ganz hilfreich, eine kurze Einführung in die Thematik zu bekommen.
In meinen Einsteigerbücher rund um das Thema Internet findet sich zwar immer eine Einführung in das Thema sichere Internetverbindung mit SSL-Zertifikaten. Die Basics hatte ich vor langer Zeit auch mal (in Zusammenarbeit mit Symantec) in diesem Beitrag erklärt. Wer aber SSL-Zertifikate als Webseitenbetreiber einsetzen will, braucht eventuell mehr Informationen oder Unterstützung bei der Auswahl der richtigen SSL-Zertifkate und Zertifikatsaussteller. Durch Zufall ist mir ein Text der PSW GROUP aus Fulda mit einigen sinnvollen Informationen zum Thema in die Finger gefallen – den ich hier (mit kleinen Ergänzungen/Änderungen meinerseits) veröffentlichen darf. Vielleicht ist es für euch von Interesse, da sowohl die Nutzer- als auch die Anbieterseite angesprochen wird.
Raus aus dem Zertifikate-Dschungel: Unterschiede bei SSL-Zertifikaten
Spätestens seit Snowdens Enthüllungen über die Geheimdienste, die die „internette Welt“ abhören, ist für viele Anbieter von Webinhalten klar, dass sie ihre Webseiten schützen müssen. SSL-Zertifikate können da helfen, geben diese doch einen entsprechenden Schutz, und hinterlassen beim Seitenbesucher aufgrund der Sichtbarkeit in der Adressleiste des Browsers ein sichereres Gefühl.
Das Problem an der Sache: Es gibt zahlreiche Anbieter vieler verschiedener Arten von SSL-Zertifikaten. Der folgende Beitrag klärt darüber auf, welches SSL-Zertifikat das richtige für den kleinen Blog, den mittelgroßen Online-Shop und die umfangreiche, sicherheitsrelevante Seite ist.
Kleiner Grundlagen-Exkurs: Was sind eigentlich SSL-Zertifikate?
Fast jeder, der sich mit dem Internet beschäftigt, hat den Begriff schon mal irgendwie gehört. Was aber steckt genau hinter einem SSL-Zertifikat? SSL ist die Abkürzung von Secure Sockets Layer. Das SSL-Protokoll stellt einen Kanal dar, der es zwei Endpunkten (Client und Server) ermöglicht, den Datenaustausch sicher zu machen. Das Internet und die Datenübertragung selbst ist eigentlich unsicher, da alles standardmäßig unverschlüsselt übertragen wird. Sollen nun sensible Informationen von A (Webbrowser) nach B (Webserver) gesendet werden, setzt man SSL ein (die Kommunikation zwischen Server und Client wird dann verschlüsselt). Solange Dritte diese Verschlüsselung nicht knacken können (was bei der Heartbleed-Lücke der Fall war), bleiben die übertragenen Daten für diese unbefugten Dritte unlesbar. Um eine SSL-Verschlüsselung zu nutzen, muss der Anwender, der eine gesicherte Seite besucht, nichts unternehmen. Jede Aktivität geht vom Webseitenbetreiber bzw. dessen Server aus – und der Browser bzw. das Client-Programm sorgt für die korrekte Entschlüsselung der empfangenen Daten.
Woran erkennt man als Websurfer eine SSL-verschlüsselte Verbindung?
Mit SSL verschlüsselte Webseiten werden über das sogenannte https-Transportprotokoll übertragen (unverschlüsselte Webseiten überträgt der Webserver per http-Transportprotokoll zum Client).
Der Webseitenbesucher erkennt eine SSL-gesicherte Verbindung an dem kleinen Sicherheitsschloss in der Adressleiste des Browsers. Weiter steht „HTTPS“ in der Adressleiste. Wer also sich also bei Facebook, beim Online-Konto der Bank, beim E-Mail-Postfach, beim Amazon-Shop, bei eBay etc. an seinem Benutzerkonto anmeldet, sollte auf die Verwendung der SSL-Verschlüsselung achten.
Sehen wir uns das an einem prominenten Beispiel der Blogosphäre an: Die Website netzpolitik.org ist SSL-gesichert. Der Besucher sieht das Schloss und HTTPS anstelle von HTTP in der Adressleiste. Nachfolgender Screenshot zeigt das Adressfeld im Firefox – und wenn der Benutzer per Maus auf das Schloss klickt, sollte eine Einblendung mit den Details des SSL-Zertifikats erscheinen.
Um weitere Hintergründe zu verstehen und tiefergehend in die Materie einzutauchen, kann sich die interaktive Visualisierung des Instituts für Telematik ansehen (erfordert Flash).
Verschiedene SSL-Varianten
Wer als Betreiber eines Webangebots seine Inhalte per SSL abgesichert bereitstellen möchte, benötigt ein SSL-Zertifikat von einem entsprechenden Anbieter (Trust-Stelle). Über das Zertifikat bestätigt der Aussteller (Trust-Stelle), dass sich hinter der abgerufenen Webseite der Zertifikatsbesitzer (z.B. die Bank, der Anbieter der Webseite etc.) steckt. Allerdings ist der Markt der SSL-Zertifikatsanbieter groß und unübersichtlich geworden. Warum kostet das eine Zertifikat lediglich 15 Euro pro Jahr, das andere aber 299 Euro? Um das richtige Zertifikat zu finden, gilt es, den eigenen Bedarf zu kennen. SSL-Zertifikate lassen sich bei folgenden Kriterien unterscheiden:
- Verschlüsselungsstärke (Standard: 128 oder 256 Bit),
- Validierung,
- Akzeptanz und Kompatibilität bei Browsern und
- Zertifikatsart (also Multidomain, Wildcard oder Single).
Um die Zertifikatsauswahl zu erleichtern, lassen sich SSL-Zertifikate in drei Varianten einteilen: Domainvalidierte für kleinere Seiten, organisationsvalidierte für mittlere und Extended Validation-Zertifikate für Behördenseiten. Sehen wir uns diese SSL-Zertifikateklassen etwas genauer an.
Domainvalidierte SSL-Zertifikate
Es existieren zahlreiche kleinere Seiten und Shops im World Wide Web; kein Wunder also, dass domainvalidierte Zertifikate die größte Verbreitung finden. Neben kleinen Websites sind sie auch geeignet für Foren, für Blogs, fürs Intranet, aber auch für Mailserver. Die betreffende Domain wird ausschließlich per E-Mail zertifiziert: Ein E-Mail-Robot schickt eine Nachricht an die WHOIS- oder eine alternative, in der Bestellung angegebene Adresse, um die Bestellung des Zertifikats zu bestätigen. Damit will die Zertifizierungsstelle (CA) prüfen, ob der Besteller wirklich der Inhaber der Domain ist. Nach der E-Mail-Bestätigung wird binnen weniger Minuten das domainvalidierte SSL-Zertifikat ausgestellt. Preislich liegen diese SSL-Zertifikate bei rund 15 Euro pro Jahr.
Organisationsvalidierte SSL-Zertifikate
Webshops, Firmenwebseiten oder Webmail-Anbieter setzen in aller Regel auf organisationsvalidierte SSL-Zertifikate. Der Domaincheck gleicht dem Verfahren von domainvalidierten Zertifikaten, zusätzlich findet hier aber noch eine Identitätsprüfung statt. So sind beispielsweise Firmen dazu angehalten, Dokumente an die CA zu senden, die bezeugen, dass sie Domaininhaber sind. Wie eine solche Prüfung aussieht, hängt von der CA ab: Meist ist ein Handelsregisterauszug nötig, daneben der Abgleich der Kontodaten und in einem telefonischen Kontakt wird überprüft, ob der Ansprechpartner tatsächlich real ist. Die so eingeholten Informationen werden mit dem WHOIS-Eintrag abgeglichen.
Preislich beginnen diese Zertifikate bei 49 Euro pro Jahr. Websurfer erkennen diese Zertifikatsart daran, dass Unternehmensname und Ort nach einem Klick aufs Schloss in der Adressleiste angezeigt werden.
Extended Validation-Zertifikat
Behördenseiten setzen in aller Regel auf Extended Validation-Zertifikate. Schon optisch wird dem Besucher klar, dass diese Seiten sicher sind: In der Adressleiste wird in grüner Farbe darauf hingewiesen, dass die Seite Extended Validation-Zertifikate nutzt. Ein Beispiel dafür liefert die Seite mozilla.org (siehe folgender Screenshot):
Das Anklicken des Schloss-Symbols verrät den Domain-, den Unternehmensnamen und den Ort des Unternehmens. Solche Zertifikate werden grundsätzlich mit 256 Bit verschlüsselt. Mit der höchsten Browserakzeptanz können diese Seiten sogar mit exotischen Browsern abseits von Google Chrome, Firefox und IE aufgerufen werden. Nur dann, wenn der Besteller eines solchen Zertifikats in einem öffentlichen Register wie dem Handelsregister zu finden ist, werden solche Zertifikate ausgestellt. Dokumente müssen unterzeichnet, außerdem telefonisch bestätigt werden. Der Domaincheck und die Prüfung der Identität erfolgen wie beim organisationsvalidierten Zertifikat. Die Preise beginnen bei den Extended Validation-Zertifikaten bei 300 Euro.
Welcher Anbieter ist der richtige?
Die richtige Art des SSL-Zertifikats ist gefunden, nun fehlt nur noch ein Anbieter. Zertifizierungsstellen gibt es wie Sand am Meer – von der US-amerikanischen CA wie beispielsweise Comodo bis zur europäischen wie etwa SwissSign ist alles möglich. Europäische Zertifizierungsstellen gewinnen seit den Enthüllungen über die NSA und andere Geheimdienste immens an Bedeutung. Wer seine Seiteninhalte über eine https-Verbindung SSL-verschlüsselt bereitstellen will oder muss, steht als Anbieter vor der Frage, die Zertifizierungsstelle zur Ausstellung des SSL-Zertifikats auswählen zu müssen. Hier empfiehlt es sich, sich beraten zu lassen. Dies kann beispielsweise bei der PSW GROUP, die mit allen gängigen Zertifizierungsstellen zusammenarbeitet und vom domainvalidierten bis zum Extended Validation-Zertifikat die komplette Bandbreite bietet.
Anmerkung: Den Gastartikel finde ich auch aus einem anderen Grund spannend. Ein Problem bei der SSL-Zertifizierung, die ich mir als Surfer stelle, ist nämlich „wie stelle ich eigentlich die Vertrauensstellung des Zertifikatsgebers sicher“? Ist ein Zertifikatsaussteller im fernen Amerika oder in Fernost sicher? Kann der zur Not (wie jetzt bei der Heartbleed-Sicherheitslücke) die Zertifikate auch schnell auf Anforderung von diversen Kunden austauschen. Sind dessen Zertifikate gegen Diebstahl gesichert. Diese und ähnliche Fragen sollte der Anbieter PSW GROUP seinen Kunden eigentlich beantworten können.
Ähnliche Artikel:
a1: Katastrophe: OpenSSL mit Heartbleed-Sicherheitslücke
a2: HeartBleed: Sicherheit überprüfen, Kennwörter ändern
a3: NSA nutzt Heardbleed-Sicherheitslücke seit Jahren!
a4: TrueCrypt: Erst-iSEC-Audit abgeschlossen–ist aktuell sicher
a5: Erinnerung: SSL/STARTTLS wird scharf geschaltet
a6: 1&1 stellt E-Mail-Server auf SSL-Verschlüsselung um
a7: Apple gibt OS X 10.9.2 Updates für SSL-Bug frei
a8: Sicher online – SSL-Zertifikate erklärt
a9: Microsoft Fixit für SSL-Lücke
Ein wirklich toller Artikel, hab mich immer schon gewundert warum dieses Heartbleed jetzt eigentlich so katastrophal und erschütternd war. Aber jetzt bin ich ja dank diesem tollen Artikel schlauer. Darum habe ich mich mal umgeschaut nach so einem Zertifikat und ich glaub ich habe das richtige bereits gefunden, denke es wird ein ssl zertifikat von internex werden.
MfG, Christian H.
Christian Hehlfurt oder wie auch immer Sie tatsächlich heißen mögen, glauben Sie wirklich, dass Sie mit der Schleichwerbung erfolgreich sein werden? Halten Sie die Leute echt für so blöd?