Vor einigen Jahren war SSL eine Sicherheitsfunktion die primär für Online-Banking und Shops relevant war. Wer allerdings heute eine Webseite starten möchte sollte dringend darüber nachdenken ein SSL-Zertifikat einzurichten um per HTTPS sichere Verbindungen zu den Nutzern zu ermöglichen. Wir erklären Ihnen wie SSL funktioniert, wo die Technologie herkommt und welche Vorteile HTTPS bietet.
Was ist SSL?
SSL steht für Secure-Sockets-Layer und ist die Vorgängerbezeichnung für das aktuell verwendete Verschlüsselungsprotokoll TLS (Transport Layer Security). Aufgrund der Bekanntheit wird der Begriff SSL immer noch verwendet, Sie nutzen, kaufen und verwenden allerdings in Wirklichkeit TLS Zertifikate.
Die Grundidee hinter SSL und TLS ist denkbar einfach und basiert auf der Verwendung von Zertifikaten die von verschiedenen Unternehmen, sogenannten Zertifizierungsstellen, angeboten werden. Ein SSL Zertifikat ist eine Datei die Informationen wie den Domainnamen, den Namen des Unternehmens sowie essenzielle Informationen wie die SSL Versionsnummer oder Verschlüsselungseinstellungen beinhaltet. Sie muss auf dem eigenen Webserver installiert werden um eine sichere Verbindung zu ermöglichen und wird von Zertifizierungsstellen (sogenannte Certificate Authorities oder CAs) ausgegeben. Im Prinzip geht es darum, dass Server und Client sich auf einen kryptographischen Schlüssel einigen müssen mithilfe dessen alle ausgetauschten Daten zuerst verschlüsselt und später auch wieder entschlüsselt werden können. Ohne den kryptographischen Schlüssel ist eine Entschlüsselung nicht möglich. Dadurch werden Unbefugte daran gehindert Informationen aus der Verbindung zu ziehen.
Wie funktioniert der Informationsaustausch bei SSL?
Der technische Ablauf von SSL geschieht innerhalb von wenigen Augenblicken. Client und Server führen den sogenannten SSL Handshake aus, eine SSL Verbindung wird immer vom Client gestartet. Dabei werden Informationen zwischen den beiden Enden ausgetauscht. Zuerst erfolgen Client und Server Hello. Hierbei werden grundlegende Informationen ausgetauscht die für den Aufbau einer gesicherten Verbindung notwendig sind. Danach wird das Zertifikat des Servers vom Client mithilfe einer Liste von Zertifizierungen authentifiziert. Nach dem erfolgreichen Feststellen der Identität des Servers erstellt der Client einen privaten Schlüssel (Private Key) der für die Entschlüsselung der Daten genutzt wird sowie einen öffentlichen Schlüssel (Public Key) der für die Verschlüsselung genutzt wird. Der Public Key wird vom Client an den Server weitergeleitet. Essenzieller Bestandteil der asymmetrischen Verschlüsselung ist die Tatsache, dass der Private Key nicht aus dem Public Key errechnet werden kann. Dadurch ist es irrelevant ob die Daten über eine unsichere Verbindung gesendet werden. Ohne den Private Key können die verschlüsselten Informationen nicht ausgewertet werden. Die beiden Systeme haben sich nun auf einen kryptographischen Schlüssel geeinigt und können die Daten für die Dauer der Sitzung sicher verschlüsseln.
Darstellung zum Informationsaustausch unter https via SSL.
Wie sicher ist SSL?
SSL bzw. TLS gilt als sichere Möglichkeit zur Übertragung von Daten zwischen zwei Parteien. Es gibt allerdings eine Reihe von Schwachstellen die je nach Ausprägung dafür sorgen können, dass eine scheinbar sichere Verbindung relativ einfach geknackt werden kann. Die größte Lücke im Sicherheitssystem von SSL sind die Zertifizierungsstellen. Wenn Unbefugte Zugriff auf das Backend von CAs erhalten sind Sie in der Lage beliebig viele Zertifikate zu erstellen. Eben daher ist es enorm wichtig, dass nur verantwortungsbewusste und seriöse Unternehmen als CA zugelassen werden.
Weitergehend ist die Wahl der Verschlüsselung besonders heikel. Je ausgeprägter das Verschlüsselungsverfahren, desto schwieriger und langwieriger ist es verschlüsselte Daten zu entschlüsseln. Moderne Verschlüsselungen lassen sich frühestens innerhalb von Jahren knacken. Ein Aufwand der im Normalfall nicht im Verhältnis zu den erlangten Daten steht. Gleichzeitig erhöht eine besonders aufwendige Verschlüsselung den Rechenaufwand der Server und damit die Kosten für den Betreiber. Aus diesem Grund verwenden einige Anbieter einfachere und ältere Verschlüsselungsmethoden. Selbige stellen ein Sicherheitsrisiko dar. Als normaler Nutzer hat man darauf kaum Einfluss.
Vorteile von HTTPS
Neben den offensichtlichen, sicherheitsbetreffenden Vorteilen von HTTPS kommen weitere Aspekte hinzu die Sie beachten sollten. HTTPS ist ein deutliches Signal an Ihre Besucher und vermittelt das Gefühl von Sicherheit. Zudem hat HTTPS positive Auswirkungen auf die Platzierungen Ihrer Webseite in Suchmaschinen. Als Marktführer nimmt Google hier eine Vorreiterposition ein. Ab Juli 2018 markieren die Kalifornier Webseiten ohne HTTPS im eigenen Chrome Browser als unsicher. Ein deutliches Signal für alle Nutzer des immer beliebter werdenden Browsers.
Was kostet SSL?
Die gute Nachricht ist, dass SSL nicht zwingend teuer sein muss. In einem weiteren, ausführlichen Artikel erklären wir Ihnen ganz genau wie Sie SSL mithilfe von Let’s Encrypt einrichten können. In vielen Hostingpaketen ist die SSL Verschlüsselung bereits inbegriffen. Wenden Sie sich an Ihren Anbieter um mehr zu erfahren. Wenn Sie ein zusätzliches Zertifikat benötigen hängen die Preise von der Art des Zertifikats sowie des Anbieters ab. Bekannte CAs wie Symantec verlangen teilweise selbst für klassische Zertifikate enorm hohe Summen. Hier hilft nur der Preisvergleich. Überlegen Sie sich zuerst welche Art von SSL Zertifikat Sie benötigen. Für die meisten Webseiten reicht das sogenannte Domain SSL. Hier wird nur überprüft ob der Betreiber eine E-Mail, welche an eine Adresse der Domain versendet wird, empfangen kann. Man spricht daher von einer Domain-Validierung. Diese Art von SSL reicht aus um aktuell von Browsern als sichere Seite angezeigt zu werden und ist für ungefähr 15€ pro Jahr erhältlich. Wie zuvor bereits erwähnt lässt sich diese Art von SSL-Verschlüsselung auch kostenlos über Let’s Encrypt durchführen.
Als Mittelweg bietet sich das sogenannte OV-Zertifikat (Organisation-Validierung) an. Hierbei werden die Unternehmensdaten des Anbieters überprüft. Bei einem Klick auf das Schlosssymbol im Browser werden die Adressdaten des Unternehmens angezeigt. Dadurch wissen User bei genauerer Überprüfung, dass es sich um ein echtes Unternehmen handelt. Ein OV-Zertifikat kostet ungefähr 55€ im Jahr.
Online Shops, Finanzdienstleister und alle die mit sensiblen Daten arbeiten sollten sich über ein sogenanntes EV-Zertifikat (Extended Validation SSL Zertifikate) Gedanken machen. Hierbei werden Identität und Geschäftsadresse des Betreibers sehr genau überprüft, verifiziert und der Name des Unternehmens neben der URL in grüner Farbe angezeigt. Diese Methode schafft Vertrauen beim Nutzer und ist daher für bestimmte Bereiche zu empfehlen. Die hohen Kosten machen diese Art der SSL-Verschlüsselung für kleinere bzw. Seiten die keine sensiblen Daten übertragen weniger attraktiv. Ein EV-Zertifikat kostet aufgrund des hohen Aufwands ungefähr 200€ pro Jahr.
Zusätzlich zu den genannten Arten von SSL-Zertifikaten gibt es noch Wildcard und Multidomain Zertifikate die die gewählte SSL-Verschlüsselung auf mehrere Domains oder Subdomains erweitern. Meist können diese Erweiterungen dazugebucht werden.
Inhalte 
Struktur 
Technik 
WordPress