SSL-Zertifikat: Was ist das und wann brauche ich es?
Was ist ein SSL-Zertifikat?
Aus technischer Sicht, ist ein Zertifikat nicht mehr als eine kleine Datei, die einen kryptografischen Schlüssel aus einer langen Zahlen- und Buchstabenkombination beinhaltet. Es gibt einen privaten Schlüssel, der auf deinem Webserver installiert wird und einen öffentlichen Schlüssel, der in einer vertrauenswürdigen Instanz gelagert ist. Diese Instanz nennt man Zertifizierungsstelle oder auch Certificate Authority (CA). Eine verschlüsselte Datenübertragung zwischen Kunde und Server mittels HTTPS-Protokoll ist möglich, sobald dein Zertifikat ausgestellt und auf deinem Server installiert wurde. Ab diesem Moment ist es für Hacker und andere Betrüger unmöglich, die übertragenen Daten zu lesen und sensible Daten abzugreifen (das gilt, solange gewisse technische Anforderungen eingehalten werden: ausreichend langer Schlüssel, Server nicht komprommitiert, privater Schlüssel für Dritte unzugänglich).
Es gibt verschiedene Möglichkeiten festzustellen, ob du dich auf einer sicheren Webseite befindest:
- In der Adresszeile ist ein kleines Schloss vor dem Domainnamen abgebildet. Firefox, Chrome und Edge nutzen zwar unterschiedliche Symbole, aber es ist immer ein Schloss erkennbar.
- Vor dem Domainnamen steht "https://"
- Hat die aufgerufene Seite kein SSL-Zertifikat, schalten viele Browser eine Seite zur Warnung vor, auf der du bestätigen musst, dass du auf die ungesicherte Website zugreifen möchtest.
Was ist mit der grünen Browserzeile passiert?
Vor einigen Jahren haben Browser eine verschlüsselte Website mit einer grünen Browserzeile hervorgehoben. Das wurde bei allen gängigen Browsern entfernt.
Welchen Gefahren beugt ein SSL-Zertifikat vor?
Die Daten zwischen deiner Website und dem Kunden werden durch Nutzung des "Public Private Key Verfahren" gesichert übertragen. Was bedeutet das genau?
- Dritte können die Daten zwar abfangen, aber nicht lesen.
- Daten, die geheim bleiben sollen, bleiben auch geheim.
Welche Nebeneffekte kann ein SSL-Zertifikat haben?
- Ein SSL-Zertifikat wirkt sich positiv auf dein Google Ranking aus.
- Manche Zertifikatstypen enthalten erweiterte Informationen über dein Unternehmen. Das kann für gesteigertes Vertrauen deiner Kunden sorgen.
- Kunden sind bei einem vertrauenswürdigen Erscheinungsbild eher gewillt, ihre Bestellung zu tätigen
Die DSGVO und rechtliche Vorschriften bzgl. SSL-Zertifikaten
Seit Mai 2018 ist die Verschlüsselung deiner Website im Zuge der Europäischen Datenschutzgrundverordnung verpflichtend geworden.
Melde dich zum Newsletter an!
Kommende Releases, neue Features und Tipps rund um dein Hosting − wir bringen dir das Wichtigste in dein Postfach. Abonniere unseren Newsletter und bleib auf dem Laufenden.
Zertifikatstypen
Bei Mittwald kannst du zwischen verschiedenen SSL-Zertifikaten für dein Projekt wählen. Wir haben das richtige Produkt im Angebot und richten es für dich ein − einfach und unkompliziert.
Zur Auswahl für deine Domains stehen dir Einzel- und Wildcard-Zertifikate, sowie die kostenfreien Zertifikate von Let's Encrypt. Ein Wildcard-Zertifikat bietet sich dann an, wenn du viele Subdomains gleichzeitig und zusätzlich zur Hauptdomain absichern möchtest. Wenn du viele verschiedene Hauptdomains hast, empfehle ich dir für jede Domain ein SSL-Starter oder Business Zertifikat zu kaufen. Prinzipiell ist das schon das größte Unterscheidungsmerkmal. Denn in puncto Technik und Sicherheit unterscheiden sich die Zertifikate nicht. Entscheidend ist am Ende die Validierungs-Methode, die dir das Plus an Sicherheit gibt.
Validierungsprozess
Warum du dennoch in Erwägung ziehen solltest auf ein höheres Zertifikat zurückzugreifen, verdeutliche ich dir an den verschiedenen Validierungsprozessen, die hinter den einzelnen Zertifikaten stecken.
Domain Validation (DV)
Die einfachste Form der Validierung ist die Domain Validation. Im Prinzip wird dabei nur geprüft, ob dir die Domain gehört. Das erreichst du in der Regel, indem du beweist, dass du auf das DNS der Domain Zugriff hast oder einen Link bestätigst, der dir per E-Mail gesendet wird. Wenn du bei uns ein SSL-Starter Zertifikat für 12 Monate kaufst, erledigen wir diesen Schritt für dich ganz automatisch und du hast keinerlei Aufwand.
Beispiel: SSL-Starter, Let's Encrypt Zertifikat
Organization Validation (OV)
Die Organisationsvalidierung nimmt als Grundlage die Domainvalidierung. Es werden jedoch weitere Schritte benötigt, damit dein Zertifikat ausgestellt werden kann. Es wird geprüft, ob dein Unternehmen wirklich existiert. Der Antragssteller muss dies durch einen Gewerbeschein oder einen Handelsregisterauszug nachweisen.
Diese Informationen stehen schlussendlich auch im Zertifikat und sind für deine Kunden einsehbar. Als Kunde bekommst du also die Sicherheit, dass die Firma, die du denkst vor dir zu haben, auch wirklich existiert.
Beispiel: SSL-Business
Extended Validation (EV)
Die höchste Sicherheitsstufe bietet dir die Extended Validation. Ergänzend werden nun noch folgende Daten geprüft:
- Der Firmensitz und Telefonnummer des Unternehmens.
- Der Antragssteller der Organisation wird daraufhin geprüft, ob er bei der Organisation angestellt und zur Anforderung des Zertifikats berechtigt ist.
- Ist die Organisation hinsichtlich Betrug in Datenbanken gelistet?
Let's Encrypt
Seit Ende 2015 gibt es die Möglichkeit, auf kostenfreie Zertifikate von Let's Encrypt (LE) zurückzugreifen. Technisch gesehen sichert ein LE-Zertifikat deine Website genauso gut ab, wie ein Bezahlzertifikat. Die Daten deiner Kunden werden ebenso verschlüsselt und bieten den gleichen Schutz. Du verzichtest jedoch auf den Vertrauensbonus, den du durch den Validierungsprozess erhältst.
Tipp!
Hoste jetzt deine Projekte im Agentur-Server und buche ganz einfach die passenden SSL-Zertifikate hinzu. Von kostenfreiem Let's Encrypt bis hin zu Extended Validation - du findest das passende Zertifikat für deine Seiten.
Kommentare
Webseite von lokalen Unternehmen - sollte ein kostenlose SSL-Zertifikat reichen. Shops mit sensibleren Daten eher dann die kostenpflichtigen
Und diese sind für den Schutz von Unternehmenswebsites absolut notwendig.
Es ist wirklich schön, dass wir kostenlose SSL-Zertifikate haben, aber wenn es jemand mit seinem (Online-)Geschäft oder Website ernst meint, ist ein bezahltes SSL-Zertifikat ein Muss.
Viele Grüße aus München,
Timo
Ich fände es gut, wenn auch Let’s Encrypt-Zertificate angeboten werden würden.
Die Sicherheit im Internet muss immer aktualisiert werden. Es gibt noch so viele alte Seiten die besser geupdatet werden…
Guten Morgen!
ich habe schon viele Seiten mitentwickelt und beim SSL-Zertifikat bin ich mir nie sicher, wie und was der Kunde braucht. Es gibt ja noch das Zertifikat mit der grünen Adresslinie. Das habt ihr gar nicht erwähnt.
Wie sind die Erfahrungen da? Braucht das jedes Business?
Vielen Dank für regen Austausch mit mittwald.de und den anderen Usern,
Muriel
Nützliche Information
Allerdings ist die Verlängerung eines Zertifikats bei Mittwald ein grösseres Problem, meine Facebook Applikationen sind nun schon mehr als 24 Stunden offline. Auf Tickets wird nicht reagiert, bei Anrufen heisst es, dass es schnellstmöglich korrigiert wird, passieren tut aber leider nichts.
Guten Morgen,
danke für Ihr Feedback. Gerne werden wir Ihr Anliegen an die Fachabteilung weiterleiten, damit Ihre Anfrage gelöst werden kann. Könnten Sie uns diesbezüglich eine Kontaktmöglichkeit bzw. die Ticketnummer zukommen lassen (an: social-mediamittwald.de)?
Vielen Dank und freundliche Grüße
Annika vom Mittwald Social Media Team
Bei mir reagiert der Support meist sehr schnell und über anstehende Zertifikatsverlängerungen werde ich bereits im Voraus informiert.
Kann man bei euch eigentlich auch extern gekaufte Zertifikate einrichten?
Hallo Richard,
ja, das ist möglich. Für weitere Infos wendest du dich am besten direkt an unseren Kundenservice, die Kollegen und Kolleginnen dort helfen dir gerne weiter.
Viele Grüße
Annika vom Mittwald Social Media Team
Solche Zertifikate sind sehr nützlich, allerdings ist die Verlängerung eines Zertifikats bei Mittwald ein grösseres Problem, meine Facebook Applikationen sind nun schon mehr als 24 Stunden offline. Auf Tickets wird nicht reagiert, bei Anrufen heisst es, dass es schnellstmöglich korrigiert wird, passieren tut aber leider nichts. Schade.
Ich finde das die kostenlosen SSL's im Grunde für die breite Masse sehr gut sind. Aber für professionelle Sachen sollte man schon auf die Kostenpflichtigen SSL's mit mehr Schutz gehen.
Hallo,
es ist zweifellos ein Vorteil, dass wir Zugang zu kostenlosen SSL-Zertifikaten haben. Sie sind eine gute Basis für den Einstieg und bieten eine grundlegende Verschlüsselung. Allerdings fehlen ihnen die erweiterten Funktionen von OV (Organization Validation) und EV (Extended Validation) Zertifikaten, die für den umfassenden Schutz einer Unternehmenswebsite unerlässlich sind. Für jeden, der seine Website oder sein Online-Geschäft ernsthaft betreibt und die Sicherheit auf ein höheres Niveau heben möchte, ist die Investition in ein kostenpflichtiges SSL-Zertifikat unumgänglich.
Herzliche Grüße,
Max aus München