Kategorien
Security

Crashkurs SSL-Zertifikat

Aufruf zur Verschlüsselung
WordPress sollte mit SSL verschlüsselt werden.

Ob Onlinehändler oder normaler WordPress-Admin – alle Webmaster stehen in der Pflicht, ihre Websites mit einem SSL-Zerifikat abzusichern und auf einer HTTPS-Domain zu betreiben. Aus einer ganzen Reihe von Gründen.

Inhalt

Warum ein SSL-Zertifikat?

  • Sicherheit – Schutz vor Hackern
  • SEO – Seiten ohne SSL-Zertifikat werden von Google abgestraft
  • Vertrauen  – Einige Browser warnen den Benutzer bei der Eingabe von Daten in ein Kontaktformular, wenn keine Verschlüsselung vorliegt
  • Haftung – Insbesondere Shopbetreiber sind dazu verpflichtet, sensible Daten zu schützen. Im Falle eines Datendiebstahls können Forderungen nach Schadensersatz gestellt werden
  • Funktionalität – WooCommerce-Extensions für Stripe arbeiten ausschließlich auf verschlüsselten Websites. Auch das Amazon-Pay-Plugin für benötigt SSL
  • Zukunftsfähigkeit – Prophezeiung: WordPress wird eines Tages nur noch auf HTTPS-Domains installiert werden können

Man-in-the-Middle-Angriffe abwehren

Kaufmann und Kauffrau im E-Commerce
’n bisschen Werbung in eigener Sache: Kaufmann und Kauffrau im E-Commerce.

An oberster Stelle steht das Thema Sicherheit. Ohne SSL-Zertifikat riskiert der Admin ein Abfangen von Daten – zwischen dem Browser des Besuchers und dem Server.

Die Methode der Hacker: Sie klinken sich mit Man-in-the-Middle-Angriffen ein, um Daten mitzulesen, abzufangen und zu manipulieren. Begehrt sind Passwörter und Kontodaten, gefährdet sind Eingabefelder wie Kontakt- und Bestellformulare. Gelingt der Angriff auf einen Shop, dann hinterlässt der Kunde seine Daten nicht da, wo er glaubt, sondern bei den Hackern.

Die Abwehrstrategie von SSL besteht aus drei Komponenten:

  • Verschlüsselung
  • Sicherstellung der Datenintegrität
  • Offenlegung der Identität des Website-Betreibers

Die SSL-Zertifikatsklassen

Die drei SSL-Zertifikatsklassen
Die drei SSL-Zertifikatsklassen

Die Welt der SSL-Zertifikate herrscht eine Drei-Klassen-Gesellschaft:

  • 1. Klasse: Domain-Validierung
  • 2. Klasse: Unternehemens-Validierung
  • 3. Klasse: Erweiterte Validierung

Dabei gelten folgende Spielregeln:

  • Je höher die Klasse, desto vertrauenswürdiger das Zertifikat
  • Je höher die Klasse, desto teurer das Zertifikat
  • Alle Prüfungen einer niedrigeren Klasse sind auch für eine höhere Klasse obligatorisch

Klasse 1: Domainvalidiertes SSL-Zertifikat

Lets-Encrypt-Zertifikat
onlineshop-diy nutzt ein kostenloses Lets-Encrypt-Zertifikat
  • Für die Ausstellung eines SSL-Zertifikats der Klasse 1 wird nur überprüft, ob der Antragsteller im Besitz der zugehörigen Domain ist. Den Check gibst du durch deinen Provider in Auftrag.
  • Die Prozedur dauert für eine .de-Domain nur wenige Minuten. Dabei wird eine Anfrage an das Whois-Verzeichnis gestellt, das „Einwohnermeldeamt“ des Internets. Stimmen die dort hinterlegten Daten mit den Angaben des Antragsteller überein, wird das Zertifikat automatisch ausgestellt.
  • Tipp: Prüfe vor der Antragstellung die eigenen Daten. Früher ging das für de-Domains ganz einfach über die Registrierungsstelle Denic, über diese URL: Denic WebWhois. Doch dank DSGVO (Datenschutz) wurde die Denic-Abfrage wurde eingedampft, Auskünfte gibt es nur noch für bestimmte Fälle. Also heißt es jetzt, vor der Beantragung eines SSL-Zertifikats noch einmal die Angeben im Kundencenter deines Providers zu prüfen.

Zertifikat im Browser erkennen

Im Browser wird das grüne Schlösschen eingeblendet. Neugierige klicken auch mal drauf und erfahren einiges über das Zertifikat und die ausstellende CA (Zertifizierungsinstanz), aber wenig über den Betreiber der Website.

SSL-Zertifikatsklasse 1 – typische Websites

Domainvalidierte SSL-Zertifikate sind kostenlos oder günstig zu haben und bei Websites mit einem gewissen Sicherheitsbedürfnis wie Blogs und Foren verbreitet.

SSL-Zertifikatsklasse 1 – Sicherheitslevel

Diese SSL-Zertifikate bietet nur eine begrenzte Sicherheit. Betrüger können sich auf legalem Wege eine Tippfehler-Domain sichern und validieren. Landet das Opfer auf einer Fake-Site, dann täuscht die SSL-Verschlüsselung auch noch Seriösität vor. Der automatisierte Abgleich mit dem Whois-Verzeichnis macht es Betrügern einfach! Wer mehr Sicherheit möchte, greift zum Zertifikat der Klasse 2.

Klasse 2: Unternehmensvalidiertes SSL-Zertifikat

Zertifikat der Klasse 2
Die Website von Heise verwendet ein SSL-Zertifikat der Klasse 2
  • Die Website von heise.de verwendet ein SSL-Zertifikat der Klasse zwei. Wenn du das auch möchtest, musst du deinen Ausweis und andere Dokumente prüfen lassen, unter Umständen auch deine Bankverbindung.
  • Die Details der Prüfung hängen von der Zertifizierungsstelle ab. Falls du die Website eines eingetragenen Vereins oder eines im Handelsregister eingetragenen Unternehmens betreust: Halte einen aktuellen Auszug aus dem Vereins- oder Handelsregister bereit.

Zertifikat im Browser erkennen

In der Browserzeile ist auf den ersten Blick nicht zu erkennen, ob ein Zertifikate der 1. oder 2. Klasse vorliegt. Der Unterschied zeigt sich mit einem Klick auf das grüne Schlösschen und einem weiteren auf den Pfeil rechts. Beim unternehmensvalidierten SSL- Zertifikat werden der Unternehmensname und der Firmensitz angezeigt.

SSL-Zertifikatsklasse 2 – typische Websites

Ein Zertifikat der Klasse 2 ist gut geeignet für einen Webshop, und ebenso für Präsenzen von Unternehmen, Vereinen und Organisationen.

SSL-Zertifikatsklasse 2 – Sicherheitslevel

Das Zertifikat schützt vor Identitätsdiebstahl und bietet eine für kleine und mittlere Webshops ausreichende Sicherheitsstufe.

Klasse 3: Extended Validation

SSL mit grüner Adresszeile
SSL mit grüner Adresszeile
  • Zertifikate der Klasse 3 sind an der grünen Adresszeile zu erkennen. Hinter dem Schlösschen ist auch der Name der Website grün geschrieben.
  • Der Erhalt eines Zertifikates der Klasse 3 erfordert eine intensive Überprüfung. Verpflichtend, und nicht nur optional wie bei Klasse 2, ist die Eintragung eines Unternehmens oder Vereins in einem öffentlichen Register. Die Dokumente zum Antrag müssen unterzeichnet sein und bestätigt werden. Bis zum Erhalt des Zertifikats dauert es einige Tage.

Zertifikat im Browser erkennen

Extended-Validation-Zertifikate werden im Browsern sehr deutlich hervorgehoben. Erkennungsmerkmal ist die grüne Adresszeile.

SSL-Zertifikatsklasse 3 – typische Websites

Typische Anwender für diesen SSL-Zertifikate der KLasse 3 sind Banken, Behörden und große Onlineshops.

SSL-Zertifikatsklasse 3 – Sicherheitslevel

Eine hundertprozentige Sicherheit garantiert auch ein Zertifikat der Klasse 3 nicht, aber die Möglichkeiten für die SSL-Verschlüsselung sind damit maximal ausgeschöpft.

Kostenlose Zertifikate von Let’s Encrypt

Kostenloses Zertifikate, allerdings nur in der Klasse 1,  stellt die Initiative Let’s Encrypt aus. Sie hat sich zum Ziel gesetzt, das gesamte Internet mittels kostenloser Zertifikate zu verschlüsseln. Dahinter verbirgt sich die gemeinnützige Internet Security Research Group (ISRG). Unterstützt wird das Vorhaben u. a. von der Electronic Frontier Foundation (EFF), der Mozilla Foundation, Akamai, Cisco Systems und der Linux Foundation.

Kostenlose Zertifikate erwerben

Kostenlose SSL-Zertifikate
Viele Provider bieten kostenlose SSL-Zertifikate

Am einfachsten erwirbst du ein Zertifikat über deinen Provider. Erkundige dich nach den genauen Bedingungen. Mögliche Optionen:

  • Der Provider blockiert die SSL-Verschlüsselung – Beispiel: United Domains (Stand März 2018). Du kannst bei United Domains kein SSL-Zertifikat einrichten.
  • Der Provider bietet die SSL-Verschlüsselung für einige Domains deines Hosting-Pakets an – weitere gegen Aufpreis
  • Der Provider bietet die SSL-Verschlüsselung für alle Domains deines Hosting-Pakets an

Diese Kosten kommen auf dich zu:

  • Let’s -Encrypt-Zertifikate -Keine, falls kostenlose Zertifikate im Hostingpaket integriert sind – in diesem Fall handelt es sich zumeist um ein Zertifikat von Let’s Encrypt.
  • Andere Klasse-1-Zertifikate – Ca. 2-5  Euro pro Monat kosten Klasse 1- Zertifikate, die von anderen Zertifizierern ausgestellt wurden, zum Beispiel von Comodo, RapidSSL, GeoTrust, Thawte, Equifax oder Symantec. Kleine Anmerkung: Der Streit zwischen Symantec und Google über die Sicherheit von Zertifikaten wurde einstweilen beigelegt. Quelle: Heise.
  • Klasse 2-Zertifikate – ca. 10 Euro pro Monat
  • Klasse 3-Zertifikate – ca. 30 Euro pro Monat

Tipp für kosten- und sicherheitsbewusste Onlinehändler:

  • Erkundige dich, ob dein Provider auch Zertifikate der Klasse 2 zulässt. Falls nicht, suche dir einen besseren Provider
  • Erwirb zunächst ein Zertifikat der Klasse 1. Ausnahme: Beim Dropshipping ist die Klasse 2 von Anfang an Pflicht
  • Mit dem Ausbau des Shops und der Erweiterung der Zahlungsmethoden wechselst du zu Klasse 2
  • Ein SSL-Zertifikat der Klasse 3 benötigst du, wenn du zu den Großen gehörst oder mit sensiblen Produkten handelst

Hab bei der Zertifikatswahl auch die Minimierung deines unternehmerischen Risikos im Hinterkopf. Im Falle eines Datendiebstahls werden Forderungen nach Schadensersatz an dich gestellt. Zur Abwehr ist es hilfreich, Sicherheitsmaßnahmen zu belegen – ein SSL-Zertifikat gehört dazu.

Du betreibst einen Shop ohne SSL-Zertifikat? Das ist grob fahrlässig.

4 Antworten auf „Crashkurs SSL-Zertifikat“

Schöner Artikel, abgesehen vom Denic-Hinweis. Wegen DSGVO zeigt Denic nur noch den Providernamen an, keine Adressdaten mehr.

Stimmt, die Denic-Abfrage wurde eingedampft, Auskünfte gibt es nur noch für bestimmete Fälle und per E-Mail. Also heißt es, vor der Beantragung eines SSL-Zertifikats noch einmal die Angeben im Kundencenter des Providers zu prüfen.
Danke für den Hinweis, habe den Beitrag aktualisiert.

Guten Tag, meine zwei Fragen:
Wo kann ich ein kostenloses SSL-Zertifikat erhalten und wie baue ich das Zertifikat in WordPress ein?
Danke im Voraus,
Gerald

Hallo Gerald, das kostenlose SSL-Zertifikat stellt Let’s Encrypt aus, du erhältst es aber über deinen Provider. Falls dein Provider kein kostenloses zertifikat anbietet, dann überlege, den Provider zu wechseln.
Eingebaut wird das Zertifikat nicht direkt in WordPress, sondern auf dem Server, du hast also, wenn du ein Hostingpaket gebucht hast, nicht mit der technischen Seite zu tun.
Deine Aufgaben:
– Zertifikat bestellen (beim Hoster)
– Zertifikat der Domain zuweisen (beim Hoster)
– Die Domain von WordPress ändern – von http auf https (in WordPress)
Grüße,
Bernd Schmitt

Kommentar verfassen