Crashkurs SSL-Zertifikat

Aufruf zur Verschlüsselung

WordPress sollte mit SSL verschlüsselt werden

Nicht nur Onlinehändler, alle Webmaster stehen heute in der Pflicht, ihre Websites mit einem SSL-Zerifikat abzusichern und auf einer HTTPS-Domain zu betreiben. Aus einer ganzen Reihe von Gründen.

Warum brauche ich ein SSL-Zertifikat?

  • Sicherheit – Schutz vor Hackern
  • SEO – Seiten ohne SSL-Zertifikat werden von Google abgestraft. Sicher ist die Verschlüsselung nicht der wichtigste Ranking-Faktor, aber Kleinvieh macht auch Mist
  • Vertrauen  – Einige Browser warnen den Benutzer bei der Eingabe von Daten in ein Kontaktformular, wenn keine Verschlüsselung vorliegt
  • Haftung – Insbesondere Shopbetreiber sind dazu verpflichtet, sensible Daten zu schützen. Im Falle eines Datendiebstahls könnten Forderungen nach Schadensersatz gestellt werden
  • Funktionalität – Einige WooCommerce-Extensions für Stripe arbeiten ausschließlich auf verschlüsselten Websites
  • Zukunftsfähigkeit – Es ist nicht auszuschließen, dass WordPress eines Tages nur noch auf HTTPS-Domains installiert werden kann

Man-in-the-Middle-Angriffe abwehren

An oberster Stelle steht das Thema Sicherheit. Wer auf ein SSL-Zertifikat verzichtet, riskiert ein Abfangen von Daten – zwischen dem Browser des Besuchers und dem Server, auf dem sich die aufgerufene Seite befindet. Betrüger klicken sich mit Man-in-the-Middle-Angriffen ein. Ihr Ziel ist es, Daten mitzulesen, abzufangen und zu manipulieren. Begehrt sind Passwörter und Kontodaten, gefährdet sind Eingabefelder wie Kontakt- und Bestellformulare.

Hacker versuchen, ihre Opfer über die Identität des Kommunikationspartners zu täuschen. Gelingt der Angriff auf einen Shop, dann hinterlässt der Kunde seine Daten nicht da, wo er glaubt, sondern bei Leuten, die damit Übles im Schilde führen!

Die Abwehrstrategie von SSL besteht aus drei Komponenten:

  • Verschlüsselung
  • Sicherstellung der Datenintegrität
  • Offenlegung der Identität des Website-Betreibers

Die SSL-Zertifikatsklassen

Die drei SSL-Zertifikatsklassen

Die drei SSL-Zertifikatsklassen

Die Welt der SSL-Zertifikate herrscht eine Drei-Klassen-Gesellschaft:

  • 1. Klasse: Domain-Validierung
  • 2. Klasse: Unternehemens-Validierung
  • 3. Klasse: Erweiterte Validierung

Dabei gelten folgende Spielregeln:

  • Je höher die Klasse, desto vertrauenswürdiger das Zertifikat
  • Je höher die Klasse, desto teurer das Zertifikat
  • Alle Prüfungen einer niedrigeren Klasse sind auch für eine höhere Klasse obligatorisch

Klasse 1: Domainvalidiertes SSL-Zertifikat

Lets-Encrypt-Zertifikat

onlineshop-diy nutzt ein kostenloses Lets-Encrypt-Zertifikat

  • Für die Ausstellung eines SSL-Zertifikats der Klasse 1 wird nur überprüft, ob der Antragsteller im Besitz der zugehörigen Domain ist. Den Check gibst du durch deinen Provider in Auftrag.
  • Die Prozedur dauert für eine .de-Domain nur wenige Minuten. Dabei wird eine Anfrage an das Whois-Verzeichnis gestellt, das „Einwohnermeldeamt“ des Internets. Stimmen die dort hinterlegten Daten mit den Angaben des Antragsteller überein, wird das Zertifikat automatisch ausgestellt.
  • Tipp: Prüfe vor der Antragstellung die eigenen Daten überprüfst. Für eine .de-Domain ist die Registrierungsstelle Denic zuständig. Rufe dazu diese URL auf: Denic WebWhois.

Zertifikat im Browser erkennen

Im Browser wird das grüne Schlösschen eingeblendet. Neugierige klicken auch mal drauf und erfahren einiges über das Zertifikat und die ausstellende CA (Zertifizierungsinstanz), aber wenig über den Betreiber der Website.

SSL-Zertifikatsklasse 1 – typische Websites

Domainvalidierte SSL-Zertifikate sind kostenlos oder günstig zu haben und bei Websites mit einem gewissen Sicherheitsbedürfnis wie Blogs und Foren verbreitet.

SSL-Zertifikatsklasse 1 – Sicherheitslevel

Diese SSL-Zertifikate bietet nur eine begrenzte Sicherheit. Betrüger können sich auf legalem Wege eine Tippfehler-Domain sichern und validieren. Landet das Opfer auf einer Fake-Site, dann täuscht die SSL-Verschlüsselung auch noch Seriösität vor. Der automatisierte Abgleich mit dem Whois-Verzeichnis macht es Betrügern einfach! Wer mehr Sicherheit möchte, greift zum Zertifikat der Klasse 2.

Klasse 2: Unternehmensvalidiertes SSL-Zertifikat

Zertifikat der Klasse 2

Die Website von Heise verwendet ein SSL-Zertifikat der Klasse 2

  • Die Website von heise.de verwendet ein SSL-Zertifikat der Klasse zwei. Wenn du das auch möchtest, musst du deinen Ausweis und andere Dokumente prüfen lassen, unter Umständen auch deine Bankverbindung.
  • Die Details der Prüfung hängen von der Zertifizierungsstelle ab. Falls du die Website eines eingetragenen Vereins oder eines im Handelsregister eingetragenen Unternehmens betreust: Halte einen aktuellen Auszug aus dem Vereins- oder Handelsregister bereit.

Zertifikat im Browser erkennen

In der Browserzeile ist auf den ersten Blick nicht zu erkennen, ob ein Zertifikate der 1. oder 2. Klasse vorliegt. Der Unterschied zeigt sich mit einem Klick auf das grüne Schlösschen und einem weiteren auf den Pfeil rechts. Beim unternehmensvalidierten SSL- Zertifikat werden der Unternehmensname und der Firmensitz angezeigt.

SSL-Zertifikatsklasse 2 – typische Websites

Ein Zertifikat der Klasse 2 ist gut geeignet für einen Webshop, und ebenso für Präsenzen von Unternehmen, Vereinen und Organisationen.

SSL-Zertifikatsklasse 2 – Sicherheitslevel

Das Zertifikat schützt vor Identitätsdiebstahl und bietet eine für kleine und mittlere Webshops ausreichende Sicherheitsstufe.

Klasse 3: Extended Validation

SSL mit grüner Adresszeile

SSL mit grüner Adresszeile

  • Zertifikate der Klasse 3 sind an der grünen Adresszeile zu erkennen. Hinter dem Schlösschen ist auch der Name der Website grün geschrieben.
  • Der Erhalt eines Zertifikates der Klasse 3 erfordert eine intensive Überprüfung. Verpflichtend, und nicht nur optional wie bei Klasse 2, ist die Eintragung eines Unternehmens oder Vereins in einem öffentlichen Register. Die Dokumente zum Antrag müssen unterzeichnet sein und bestätigt werden. Bis zum Erhalt des Zertifikats dauert es einige Tage.

Zertifikat im Browser erkennen

Extended-Validation-Zertifikate werden im Browsern sehr deutlich hervorgehoben. Erkennungsmerkmal ist die grüne Adresszeile.

SSL-Zertifikatsklasse 3 – typische Websites

Typische Anwender für diesen SSL-Zertifikate der KLasse 3 sind Banken, Behörden und große Onlineshops.

SSL-Zertifikatsklasse 3 – Sicherheitslevel

Eine hundertprozentige Sicherheit garantiert auch ein Zertifikat der Klasse 3 nicht, aber die Möglichkeiten für die SSL-Verschlüsselung sind damit maximal ausgeschöpft.

Kostenlose Zertifikate von Let’s Encrypt

Kostenloses Zertifikate, allerdings nur in der Klasse 1,  stellt die Initiative Let’s Encrypt aus. Sie hat sich zum Ziel gesetzt, das gesamte Internet mittels kostenloser Zertifikate zu verschlüsseln. Dahinter verbirgt sich die gemeinnützige Internet Security Research Group (ISRG). Unterstützt wird das Vorhaben u. a. von der Electronic Frontier Foundation (EFF), der Mozilla Foundation, Akamai, Cisco Systems und der Linux Foundation.

Kostenlose Zertifikate erwerben

Kostenlose SSL-Zertifikate

Viele Provider bieten kostenlose SSL-Zertifikate

Am einfachsten erwirbst du ein Zertifikat über deinen Provider. Erkundige dich nach den genauen Bedingungen. Mögliche Optionen:

  • Der Provider blockiert die SSL-Verschlüsselung – Beispiel: United Domains (Stand Dezember 2017)
  • Der Provider bietet die SSL-Verschlüsselung für einige Domains deines Hosting-Pakets an – weitere gegen Aufpreis
  • Der Provider bietet die SSL-Verschlüsselung für alle Domains deines Hosting-Pakets an

Diese Kosten kommen auf dich zu:

  • Let’s -Encrypt-Zertifikate -Keine, falls kostenlose Zertifikate im Hostingpaket integriert sind – in diesem Fall handelt es sich zumeist um ein Zertifikat von Let’s Encrypt.
  • Andere Klasse-1-Zertifikate – Ca. 2-5  Euro pro Monat kosten Klasse 1- Zertifikate, die von anderen Zertifizierern ausgestellt wurden, zum Beispiel von Comodo, RapidSSL, GeoTrust, Thawte, Equifax oder Symantec. Kleine Anmerkung: Der Streit zwischen Symantec und Google über die Sicherheit von Zertifikaten wurde einstweilen beigelegt. Quelle: Heise.
  • Klasse 2-Zertifikate – ca. 10 Euro pro Monat
  • Klasse 3-Zertifikate – ca. 30 Euro pro Monat

Tipp für kosten- und sicherheitsbewusste Onlinehändler:

  • Erkundige dich, ob dein Provider auch Zertifikate der Klasse 2 zulässt. Falls nicht, suche dir einen besseren Provider
  • Erwirb zunächst ein Zertifikat der Klasse 1. Ausnahme: Beim Dropshipping ist die Klasse 2 von Anfang an Pflicht
  • Mit dem Ausbau des Shops und der Erweiterung der Zahlungsmethoden wechselst du zu Klasse 2
  • Ein SSL-Zertifikat der Klasse 3 benötigst du, wenn du zu den Großen gehörst oder mit sensiblen Produkten handelst

Hab bei der Zertifikatswahl auch die Minimierung deines unternehmerischen Risikos im Hinterkopf. Im Falle eines Datendiebstahls werden Forderungen nach Schadensersatz an dich gestellt. Zur Abwehr ist es hilfreich, Sicherheitsmaßnahmen zu belegen – ein SSL-Zertifikat gehört dazu.

Du betreibst einen Shop ohne Zertifikat? Das ist grob fahrlässig.

Kommentar verfassen