SSL-Zertifikat – ohne geht es nicht mehr!

SSL-Zertifikat – ohne geht es nicht mehr!

Was ist ein Sicherheitszertifikat?

Ein SSL-Zertifikat (Secure-Sockets-Layer-Zertifikat) dient der Codierung von Daten, die während einer Internetverbindung von einem Computer an einen Webserver gesendet werden. Die standardisierte Weiterentwicklung des SSL-Protokolls ist das sogenannte TLS (Transport-Layer-Security). Die Begriffe werden meist synonym verwendet. Bei SSL handelt sich um einen individuellen Code, der Identifizierungsinformationen beinhaltet, welche durch einen Drittanbieter verifiziert werden. Nur offiziell anerkannte Drittanbieter werden von Internetbrowsern als vertrauenswürdig erkannt.
Der Identifizierungs-Code wird auf dem Server des Websiten-Anbieters eingebaut. Wenn die entsprechende Website nun geöffnet wird, geschieht dies automatisch über eine gesicherte Verbindung.

Wann brauche ich ein Zertifikat?

Sicherheitszertifikate dienen der Vorbeugung von Datenmissbrauch und Identitätsdiebstahl.

Websites

Spätestens seit dem Inkrafttreten der DSGVO am 25. Mai 2018 sind sich die meisten Seitenbetreiber darüber im Klaren, dass eine Verschlüsselung zwingend notwendig ist, wenn Besucher auf ihrer Website persönliche Daten (Kunden- oder Versicherungsnummern, Bankdaten, Adressen usw.) eingeben, ein Kundenkonto anlegen oder Formulare ausfüllen können. Allerdings werden bereits dynamische IP-Adressen, über die der Seitenbetreiber die dahinterstehende Person theoretisch identifizieren könnte, zu den personenbezogenen Daten gezählt. Somit kann bereits das Auslesen der IP-Adresse des Seitenbesuchers zu einem Datenmissbrauch führen! Demzufolge benötigen auch (private) Seiten, auf denen keine Eingabe von Daten möglich ist, ein Sicherheitszertifikat.

E-Mails

Wenn Sie einen Client für Ihren E-Mail-Verkehr verwenden, ist auch hier Vorsicht geboten: Ohne Chiffrierung erfolgt die Übermittlung der E-Mails von Ihrem Programm an den Webserver im Klartext. Die Einstellung, dass der Inhalt und der Versand der E-Mails verschlüsselt werden sollen, müssen Sie im Programm manuell vornehmen. Anderenfalls können Ihre Nachrichten prinzipiell „mitgelesen“ werden. Dies gilt auch für archivierte oder gespeicherte Mails. Besonders hoch ist das Risiko in öffentlichen WLAN-Netzwerken.

Was passiert, wenn ich meine Seite nicht verschlüssle?

Wer auf die Einrichtung des Sicherheitszertifikats verzichtet, geht ein hohes Risiko ein. Insbesondere seit der DSGVO-Verabschiedung muss mit hohen Bußgeldern gerechnet werden. Darüber hinaus können Seitenbesucher, die infolge des fehlenden Datenschutzes zu Schaden gekommen sind, Schadensersatzansprüche an den Inhaber der Website stellen.
Und auch von der Gesetzeslage abgesehen, nehmen Sie gravierende Nachteile in Kauf: Nicht-verschlüsselte Seiten wirken abschreckend auf die Besucher, da sie einen unseriösen Eindruck erwecken und viele Internetbrowser eine ungesicherte Seite gar nicht erst öffnen – oder nur in Verbindung mit einer unübersehbaren Sicherheitswarnung.
Letztlich werden Websites ohne Sicherheitszertifikat über die gängigen Suchmaschinen schwerer gefunden.

Wie sicher ist der Schlüssel?

Je größer der Schlüssel ist, desto sicherer ist er – ähnlich wie ein Passwort. Die Schlüsselgröße wird in Bit angegeben. Sie ist nicht nur vom SSL-Zertifikat selbst abhängig, sondern auch vom Webserver, dem Browser / Client sowie dem Betriebssystem des Besuchers. Bei älteren Internetbrowsern und Betriebssystemen ist es möglich, dass sie keine hohe Verschlüsselungsrate (ab 128 Bit) unterstützen. Für diesen Fall sollten Sie SGC (Server Gated Cryptography) einrichten. Es stattet ihr Zertifikat mit einer hohen Browserkompatibilität aus.

Welche Typen von Sicherheitszertifikaten gibt es?

Bei der Wahl des Schlüssels können Sie sich zwischen drei verschiedenen Sicherheitsstufen unterscheiden:
  • DV-SSL (Domain-Validated-SSL)
  • OV-SSL(Organisation-Validation-SSL)
  • EV-SSL (Extended Validation-SSL)
Unabhängig vom Sicherheitsgrad kann der Besucher eine verschlüsselte Seite daran erkennen, dass die Domain sich mit „https://seitenname…“ aufrufen lässt. Sofern nicht anders eingestellt, wird die Adresse nach dem Aufruf der Seite automatisch so angezeigt – auch, wenn vom Besucher nur „http://seitenname…“ oder „www.seitenname…“ eingegeben wurde.

DV-SSL

DV-SSL stellt das einfachste und kostengünstigste Zertifikat dar. Eine Zertifizierungsstelle prüft, ob die Daten des Antragstellers mit denen des Inhabers der Domain übereinstimmen, und stellt das Zertifikat nahezu sofort aus. Auf der gesicherten Website erscheint als Hinweis für den Seitenbesucher ein Schloss-Symbol neben der Adressleiste.

OV-SSL

Eine Verschlüsselung mit OV-SSL beruht auf einer kompletten Identitätskontrolle des Seiteninhabers – inklusive einer Prüfung der Bankdaten, der Adressangaben und des Handelsregisters. Auch ein OV-SSL-Zertifikat wird mittels eines Schlosssymbols neben der Adressleiste angezeigt. Beim Klick auf das Symbol wird dem Besucher darüber hinaus das für die Seite verantwortliche Unternehmen angezeigt.

EV-SSL

Ein EV-SSL-Zertifikat erfüllt höchste Anforderungen an die Validierung. Je nach Browser werden EV-SSL-Zertifikate mit einer gesonderten Markierung angezeigt, z.B. indem sie in der Adressleiste grün hervorgehoben werden und der Name des Unternehmens daneben eingeblendet wird. Diese Sicherheitsstufe wird beispielsweise von Banken und größeren Online-Shops gewählt.

Sicherheitszertifikate einrichten – aber richtig

Damit Ihr Sicherheitszertifikat zu 100% korrekt eingerichtet wird, Datenschutz garantiert ist und Sie rechtlich abgesichert sind, sollten Sie einen Fachmann zu Rate ziehen. Je nach Betriebssystem, Webauftritt und E-Mail-Client unterscheiden sich die notwendigen Einstellungen und es sind verschiedene Dinge zu beachten. Wer hier einen Fehler macht, geht erhebliche – vor allem finanzielle – Risiken ein!
Um das zu vermeiden, bieten wir Ihnen eine professionelle Beratung und Unterstützung rund ums Thema Sicherheitszertifikat an. Wir helfen Ihnen dabei, die für Sie passende Sicherheitsstufe zu finden, und unterstützen Sie umfangreich bei der Absicherung Ihrer Webpräsenz und Ihrer E-Mails. Gehen Sie auf Nummer sicher und beauftragen Sie einen Spezialisten – damit garantiert nichts übersehen wird.
Sicherheitszertifikate sind heutzutage nicht mehr teuer und jedem Seitenbetreiber möglich.

Kurz zusammengefasst…

  • Sicherheitszertifikate belegen die Echtheit des Seitenbetreibers und verhindern, dass die persönlichen Daten (inklusive IP-Adressen) der Seitenbesucher abgegriffen werden.
  • Ein Sicherheitszertifikat ist heutzutage Pflicht für jede Website, die personenbezogene Daten übermittelt – auch für private Seiten.
  • In E-Mail-Clients müssen spezielle Einstellungen vorgenommen werden, um die E-Mails selbst und ihren Versand zu codieren.
  • Wer auf Verschlüsselungsmaßnahmen verzichtet, riskiert Bußgelder, Schadensersatzforderungen, einen unseriösen Eindruck auf Seitenbesucher und die Abwanderung von Kunden.
  • Die korrekte Einrichtung des Zertifikates kann sehr aufwendig sein und sollte immer genau überprüft werden.

Facebook
WhatsApp
Twitter
LinkedIn
Pinterest