Wie das SSL-Zertifikat ein sicheres Surfen ermöglicht

Der Besuch von Webseiten erfolgt für uns mit einem einfachen Klick. Innerhalb weniger Sekunden erscheinen sämtliche Informationen, Daten und Dateien auf unserem Monitor. Im Hintergrund ermöglicht eine komplexe Technik all dies. Jeder Seitenaufruf stellt eine Kommunikation zwischen dem Browser des Nutzers und dem Webserver dar. Das SSL-Zertifikat sorgt dafür, dass diese Kommunikation sicher und verschlüsselt erfolgt. Lesen Sie im Folgenden, wie ein SSL-Zertifikat funktioniert, warum es bei sensiblen Daten so wichtig ist und wie Sie erkennen, ob der Besuch einer Website sicher ist. Erfahren Sie auch, wie Avira Free Security Ihre Internetaktivitäten noch sicherer gestaltet.  

Die Grundlagen: Was ist ein SSL-Zertifikat? 

Bei dem SSL-Zertifikat (Secure Socket Layer) handelt es sich um eine kleine Datei, die Webseitenbetreiber auf ihren Server laden und einrichten. Richtig eingerichtet ermöglicht die Datei eine sichere und verschlüsselte Kommunikation zwischen dem Internetbrowser des Nutzers (Client) sowie dem Webserver. An dem Schloss-Symbol in der Adressleiste des Browsers erkennen Sie, ob die aufgerufene Seite ein gültiges SSL-Zertifikat hat. 

Es ist wichtig zu wissen, dass SSL mittlerweile weitgehend durch TLS (Transport Layer Security) ersetzt wurde. TLS ist der Nachfolger von SSL und bietet verbesserte Sicherheitsfunktionen. Die Begriffe SSL-Zertifikat und TLS-Zertifikat werden zwar oft synonym verwendet, jedoch bezieht sich TLS auf die aktuellere Version der Technologie. 

Auch die Webadresse zeigt, ob die Verbindung gesichert ist. Bei verschlüsselten Webseiten wird das http (Hypertext Transfer Protocol) durch ein s zu https ergänzt. Das „s“ steht für „secure“ und ist ein Indikator für eine sichere Kommunikation. Der Besucher einer Seite mit HTTPS-Protokoll erhält die Meldung: „Diese Verbindung ist sicher“. 

Insbesondere bei der Anmeldung in Benutzerkonten ist es sehr wichtig, dass die Zugangsdaten verschlüsselt übertragen werden. Unbefugte Dritte können die sensiblen Daten schwerer abgreifen, da sie bei einer SSL-Verschlüsselung nicht als Klartext übertragen werden. Beim Online-Banking sowie auf Gesundheits- und Versicherungsportalen ist ein gültiges SSL/TLS-Zertifikat daher unabdingbar.  

Wann ist ein SSL-Zertifikat notwendig? 

Internetnutzer, E-Commerce-Shops und Webseitenbetreiber profitieren gleichermaßen von SSL-Zertifikaten, wenn auch auf unterschiedlichen Ebenen. 

• Internetnutzer: Das SSL-Zertifikat schützt zuverlässig sensible, personenbezogene Informationen und Daten. Dazu zählen Konto- und Benutzerdaten, Passwörter und finanzielle Transaktionen. 

• Shops: Eine verschlüsselte Kommunikation wird gerade dann wichtig, wenn es um das Thema Geld und persönliche Daten geht. Shops, die auf ein SSL-Zertifikat setzen, genießen das Vertrauen der Kunden. Kunden wissen, dass die Datenübertragung sicher ist.

• Webseitenbetreiber: Internetseiten mit SSL-Zertifikat werden von Suchmaschinen wie Google besser platziert. Google ist eine gute Erfahrung aller Nutzenden wichtig. Seiten, die sich für die Sicherheit der Nutzer einsetzen, werden daher priorisiert in den Suchergebnissen aufgelistet. 

Was passiert, wenn man kein SSL-Zertifikat hat? 

Wer als Webseitenbetreiber auf die Integration von einem gültigen SSL-Zertifikat verzichtet, nimmt einige Risiken in Kauf. 

• Unverschlüsselte Datenübertragung: Die Kommunikation und der Datentransfer zwischen dem Browser und der Website werden im Klartext durchgeführt. Die Informationen können leicht abgefangen und von sogenannten „Man-in-the-Middle“-Angriffen bedroht werden. Hacker können sich durch IP-Spoofing einfacher als eine andere Person ausgeben und auf sensible Daten zugreifen. 

• Ranking bei Google und Co.: Suchmaschinen bewerten und ranken Seiten mit SSL-Verschlüsselung höher. Google hat ein großes Interesse daran, seinen Nutzern die beste Erfahrung zu ermöglichen. Ohne Sicherheit ist dies nicht möglich.

• Nutzer werden abgeschreckt: Nutzer bekommen in der Regel eine deutliche Warnung von ihrem Browser, wenn sie eine Webseite ohne SSL-Verschlüsselung besuchen wollen. Das schreckt ab und hat einen direkten Einfluss auf das Ranking bei Suchmaschinen, die das Nutzerverhalten tracken. 

• Kompatibilität zu Zahlungsanbietern: Viele Dienste zur Verarbeitung von Zahlungen setzen ein gültiges SSL-Zertifikat voraus. Wenn dieses fehlt, sind Transaktionen nicht möglich. 

Kurzum: Webseiten ohne SSL-Verschlüsselung bieten ihren Besuchern weniger Sicherheit und verlieren potenziell das Vertrauen der Nutzer. Zudem bewerten Suchmaschinen wie Google ein fehlendes Zertifikat negativ, was sich nachteilig bei der Platzierung in den Suchergebnissen auswirkt. 

Welche Typen von SSL-Zertifikaten gibt es? 

Grundsätzlich gibt es drei Typen von SSL-Zertifikaten: Die Extended Validation Zertifikate (EV SSL), die Organisation Validated Zertifikate (OV SSL) sowie die Domain Validated Zertifikate (DV SSL). 

Extended Validation Zertifikate 

Ein Zertifikat mit erweiterter Validierung bietet den höchsten Standard für Markenschutz. Webseitenbetreiber, die ein derartiges SSL-Zertifikat erhalten möchten, unterliegen sehr strengen Auswahlkriterien. Für die Vergabe des Zertifikats ist eine umfassende Verifizierung des Antragstellers erforderlich. Es wird detailliert überprüft, ob der Domaininhaber tatsächlich die Berechtigung zur Nutzung der Domain hat. Dank der strengen Überprüfung der Identität ist es für die Besucher der Website jederzeit erkennbar, wer der Inhaber des Zertifikats ist. Das EV SSL bietet daher den besten Schutz und sorgt für das größte Vertrauen bei den Nutzern. 

Organisation Validated Zertifikate 

Eine Organisation-Validated-Zertifizierung ist weniger streng, erfordert aber trotzdem eine gründliche Überprüfung des Antragstellers. Es wird geprüft, ob der Domainname verwendet werden darf, und grundlegende Informationen zur Identität werden erfasst. Nutzer können die Informationen zum Antragsteller sehen, indem sie auf das SSL-Schloss in der Adresszeile klicken. 

Domain Validated Zertifikate 

Domainvalidierte SSL-Zertifikate bieten den niedrigsten Authentifizierungsgrad, da nur die Berechtigung zur Nutzung der Domain geprüft wird. Es erfolgt keine Prüfung des Inhabers, sodass der Antragsteller kaum bürokratischen Aufwand hat. Diese Form der Zertifizierung kommt daher vor allem für private Blogs und kleine Internetseiten zum Einsatz. 

Wie funktioniert die Verschlüsselung? 

Sobald ein Webseitenbetreiber das SSL-Zertifikat auf seinem Webserver installiert hat, kann die verschlüsselte Kommunikation stattfinden. Für den Webseitenbesucher ist keine Aktion erforderlich. Nutzer brauchen nur einen Internetbrowser. Im Detail läuft die Verschlüsselung folgendermaßen ab: 

• Verbindung wird angefragt: Der Besucher startet die Kommunikation zwischen dem Internetbrowser und dem Webserver durch die Eingabe der URL in die Adresszeile. In diesem Moment sendet der Browser eine Anfrage an den Webserver. 

• Webserver authentifiziert sich: Nachdem der Browser seine Anfrage an den Webserver geschickt hat, sendet dieser zur Authentifizierung ein digitales Zertifikat. Dieses Zertifikat beinhaltet auch den öffentlichen Schlüssel.

• Zertifikat wird überprüft: Der Browser überprüft nun das Zertifikat, das er vom Webserver erhalten hat. Im Anschluss gibt es zwei Optionen: Entweder der Nutzer gelangt problemlos auf die Webseite, oder er wird über die unsichere Verbindung informiert und gewarnt.

• Schlüssel werden ausgetauscht: Sobald das Zertifikat erfolgreich überprüft wurde, erstellt der Browser einen sogenannten „Sitzungsschlüssel“. Dieser wird zufällig generiert und in Zusammenarbeit mit dem öffentlichen Schlüssel des Webservers chiffriert. 

• Kommunikation wird verschlüsselt: Nach der Dechiffrierung des Sitzungsschlüssels durch den Webserver beginnt der sichere Datenaustausch. Dritte können diesen Datentransfer nicht im Klartext einsehen, da nur der Webserver den Sitzungsschlüssel entschlüsseln kann. 

Kurzum: Bei so vielen Schlüsseln kann es schnell zu Verwirrungen kommen. Der Webserver, der auch das SSL-Zertifikat zur Verfügung stellt, hat zwei Schlüssel: Einen öffentlichen und einen privaten. Mithilfe des öffentlichen Schlüssels wird der Sitzungsschlüssel, der wiederum vom Browser erstellt wird, für Dritte unzugänglich. Mithilfe des privaten Schlüssels kann der Webserver exklusiv die Sitzung dechiffrieren und einen sicheren, verschlüsselten Austausch an Daten und Informationen ermöglichen. 

Wie richte ich ein SSL-Zertifikat ein? 

Vorweg: Die Installation des SSL-Zertifikats variiert je nach Webserver. Daher gibt es keine allgemeingültige Anleitung. Informieren Sie sich in diesem Fall am besten direkt bei dem Anbieter Ihres Servers, um eine genaue Anleitung zu bekommen. Grundsätzlich ist der Ablauf aber folgendermaßen zusammenzufassen: 

• Schritt 1 – Zertifikat erwerben: Dieser Schritt ist immer gleich. Bevor Sie das SSL-Zertifikat auf Ihrem Webserver installieren und konfigurieren, müssen Sie es über eine offizielle Zertifizierungsstelle erwerben. Kostenpflichtige Anbieter wie GlobalSign und DigiCert sowie der für seine kostenlosen Zertifikate bekannte Anbieter Let’s Encrypt sind etabliert. 

• Schritt 2 – Zertifikat herunterladen: Sie erhalten die folgenden Dateien: Das eigentliche Zertifikat (domainname.crt) sowie den privaten Schlüssel (domainname.key). Mit diesen beiden Dateien ist der Webbrowser der Nutzer in der Lage, Informationen und Daten zu verschlüsseln. 

• Schritt 3 – Zertifikat auf den Server laden: Anschließend laden Sie beide Dateien auf Ihren Webserver. Nutzen Sie dafür ein FTP-Programm oder (soweit vorhanden) direkt die Webapplikation des Servers. Informieren Sie sich hierbei bei dem Anbieter, in welchem Ordner die Dateien abgelegt werden müssen.

Nachdem Sie das Zertifikat auf Ihren Webserver geladen haben, muss dieser noch konfiguriert und das SSL-Modul aktiviert werden. Da jede Serverumgebung unterschiedliche Vorgehensweisen und Ordnerstrukturen hat, sollten Sie die Anleitungen des jeweiligen Anbieters konsultieren.  

Übrigens: SSL-Zertifikate sind nur begrenzt gültig und laufen in der Regel nach einem Jahr ab. Stellen Sie daher sicher, dass Sie Ihr Zertifikat regelmäßig erneuern. 

Wo erhalte ich ein SSL-Zertifikat? 

Als Webseitenbetreiber können Sie Ihr SSL-Zertifikat bei sogenannten „Certification Authorities“ (kurz: CA) erwerben. Dabei handelt es sich um spezialisierte Einrichtungen, die unter strengen Auflagen und Richtlinien arbeiten und die Zertifikate nach entsprechender Prüfung vergeben.  

In den meisten Fällen prüft die Zertifizierungsstelle Ihren Antrag sowie die erforderlichen Angaben und Dokumente. Im Anschluss erhalten Sie das Zertifikat innerhalb weniger Tage zur Verfügung und können es auf dem Webserver installieren und konfigurieren. 

Woran erkennt man eine gute Zertifizierungsstelle? 

Es gibt einige Hinweise darauf, wie vertrauenswürdig und auch anerkannt eine Zertifizierungsstelle ist. Dazu zählen: 

• Audits: Wenn eine CA regelmäßig Audits durch Unternehmen wie WebTrust durchführen lässt, spricht das für einen hohen Standard und zeitgemäße Richtlinien. 

• Mitgliedschaften: Die namhaftesten CAs sind Mitglied in dedizierten Foren, wie beispielsweise dem Certification Authority Browser Forum. 

• CP / CPS: Zertifizierungsstellen veröffentlichen auf ihren Webseiten die sogenannte „Certificate Policy“ sowie das „Certification Practice Statement“. Hierbei handelt es sich um die eigenen Richtlinien und Vorgaben, die von der Zertifizierungsstelle definiert wurden. So können Dritte direkt einsehen, welchem Standard die Zertifikate unterliegen.

• Abwärtskompatibilität: Die besten SSL-Zertifikate sollten eine Abwärtskompatibilität zu älteren Browserversionen haben. Je mehr Versionen unterstützt werden, desto besser ist der Ruf der Zertifizierungsstelle. 

Noch mehr Sicherheit dank Avira Free Security 

Wenn Sie Webseiten besuchen, die eine verschlüsselte Kommunikation dank SSL-Zertifikat ermöglichen, sind Sie bereits gut gesichert. Tatsächlich gibt es allerdings immer noch zahlreiche Internetseiten, die keine Verschlüsselung vorweisen. Auch andere Gefahren wie Phishing-Mails, schädliche Dateianhänge oder öffentliche WLAN-Netzwerke erfordern eine erhöhte Aufmerksamkeit von Ihnen. 

Mit Avira Free Security können Sie sich zusätzlich schützen und es Cyberkriminellen schwerer machen. Mit der All-in-One-Lösung erhalten Sie einen zuverlässigen Echtzeit-Schutz vor Malware. Zusätzlich informiert Sie das Tool über schwache Passwörter und veraltete Programme. Doch hier hört es nicht auf: Mit dem integrierten VPN können Sie anonymer surfen und sich sicherer durch öffentliche Netzwerke bewegen. Sie können zudem von überall auf sämtliche Multimedia-Inhalte zugreifen, die normalerweise nur in bestimmten Regionen verfügbar sind.  

Dieser Artikel ist auch verfügbar in: EnglischFranzösisch