Was ist ein SSL-Zertifikat?
Ein SSL-Zertifikat ist ein digitales Zertifikat, das die sichere Kommunikation zwischen einer Website und ihren Besuchern ermöglicht. Es wird verwendet, um die zwischen der Website und dem Browser des Benutzers ausgetauschten Daten zu verschlüsseln und sie so vor unbefugtem Zugriff zu schützen. SSL steht für Secure Sockets Layer.
Ein SSL-Zertifikat ist ein digitales Zertifikat, das von Zertifizierungsstellen (CA) für Websites ausgestellt wird, um deren Identität zu bestätigen und eine sichere Verbindung zwischen Webseiten und Webbrowsern zu ermöglichen. SSL-Zertifikate schaffen Vertrauen im Internet, da sie Internetnutzern zeigen, dass der Datenverkehr zwischen ihrem Webbrowser und einer Website verschlüsselt ist.
Diese sichere Verbindung wird durch ein Vorhängeschloss-Symbol in der Adressleiste des Browsers und das Protokoll "https" in der URL der Website angezeigt. SSL-Zertifikate sind für Online-Transaktionen, wie z. B. Einkäufe im elektronischen Handel, unerlässlich, da sie die sichere Übertragung sensibler Informationen, wie z. B. Kreditkartendaten, gewährleisten. Es besteht jedoch die Gefahr, dass SSL-Zertifikate ein falsches Gefühl der Sicherheit vermitteln, da auch bösartige Websites SSL-Zertifikate erhalten können. So gibt es beispielsweise immer mehr Phishing-Websites, die Domain Validated (DV)-Zertifikate von Behörden erhalten haben, die nicht kontrollieren, welche Websites Zertifikate erhalten. Außerdem können SSL-Zertifikate Websites nicht vor bösartigen Angriffen wie SQL-Injection oder Malware schützen.
Wie funktioniert ein SSL-Zertifikat?
Ein SSL-Zertifikat verwendet Verschlüsselungsalgorithmen, um die zwischen einem Webbrowser und einer Website ausgetauschten Daten zu verschlüsseln.
Wenn die Daten verschlüsselt sind, ist es für einen Bedrohungsakteur fast unmöglich, sie zu lesen. Beispiele für Daten sind Kennwörter, Namen und Finanzinformationen.
Im Folgenden wird die Funktionsweise eines SSL-Zertifikats in fünf Schritten erläutert:
- Ein Browser versucht, eine Verbindung zu einer Website mit einem SSL-Zertifikat herzustellen.
- Der Server der Website sendet eine Kopie seines SSL-Zertifikats zur Überprüfung an den Browser. Der öffentliche Schlüssel der Website auf dem Zertifikat dient der Verschlüsselung der Daten während der Sitzung.
- Der Browser validiert das Zertifikat, um sicherzustellen, dass es authentisch, nicht widerrufen und nicht abgelaufen ist. Nach der Validierung verwendet der Browser den öffentlichen Schlüssel des Servers, um einen verschlüsselten symmetrischen Schlüssel zu erstellen und sendet ihn an den Server.
- Der Server verwendet seinen privaten Schlüssel zur Entschlüsselung des symmetrischen Sitzungsschlüssels. Er zeigt an, dass er bereit ist, eine Verschlüsselungssitzung zu starten, indem er eine mit dem Sitzungsschlüssel verschlüsselte Bestätigung zurücksendet.
- Der Browser und die Website stellen nun eine sichere und verschlüsselte Verbindung mit dem Sitzungsschlüssel her.
Der gesamte Vorgang wird auch als SSL-Handshake bezeichnet und erfolgt fast augenblicklich. Nachdem das SSL-Zertifikat die Verbindung gesichert hat:
- In der Adressleiste des Browsers erscheint ein Vorhängeschloss-Symbol direkt vor derURL.
- Der URL wird das Akronym HTTPS (HyperText Transfer Protocol Secure) vorangestellt.
Was beinhalten SSL-Zertifikate?
-
Domainname: Der Domainname oder die Domainnamen, für die das SSL-Zertifikat gültig ist.
-
Details zur Ausstellung: Das Gerät oder die Person, für die das SSL-Zertifikat ausgestellt wurde, und die Zertifizierungsstelle, die es ausgestellt hat.
-
Digitale Unterschrift: Die digitale Signatur, die die Authentizität des Zertifikats bestätigt.
-
Datum: Das Ausstellungsdatum und das Ablaufdatum des Zertifikats.
-
Öffentlicher Schlüssel: Ein SSL-Zertifikat enthält einen öffentlichen Schlüssel, während der private Schlüssel geheim gehalten wird.
Wofür wird ein SSL-Zertifikat verwendet?
Ein SSL-Zertifikat wird verwendet, um eine sichere Verbindung zwischen einem Browser und einer Website herzustellen. Das Zertifikat trägt zum Schutz des Datenaustauschs zwischen einem Gerät und dem Server einer Website bei. Neben der Verschlüsselung von Verbindungen tragen SSL-Zertifikate auch zum Schutz der Sicherheit der Website-Benutzer bei. Außerdem trägt ein SSL-Zertifikat dazu bei, das Vertrauen in eine Website zu stärken.
Warum brauche ich ein SSL-Zertifikat für meine Website?
Ein SSL-Zertifikat sollte niemals als einziges Instrument für die Cybersicherheit einer Website betrachtet werden. Nichtsdestotrotz benötigen Sie aus den folgenden Gründen ein SSL-Zertifikat für Ihre Website:
-
Schutz der Daten: Eine SSL-Verschlüsselung hilft, die zwischen Ihrer Website und Ihren Besuchern ausgetauschten Daten vor Cyberkriminellen zu schützen. Dies ist nicht nur gut für das Geschäft, sondern kann auch dazu beitragen, dass Ihre Online-Plattform die Datenschutzgesetze einhält.
-
Vertrauen: Der durchschnittliche Internetnutzer wird sich beim Surfen auf Ihrer Website sicherer fühlen, da er weiß, dass das Vorhängeschloss-Zeichen und das HTTPS-Akronym für eine sichere Verbindung stehen.
-
SEO: Websites mit SSL-Zertifikaten werden in Suchmaschinen höher eingestuft, da sie als sicher wahrgenommen werden. Einige Browser weisen sogar auf http-Websites hin und warnen Nutzer davor, eine solche Website zu besuchen, da sie nicht sicher ist.
Arten von SSL-Zertifikaten
Ihre Website kann mehrere verschiedene Arten von SSL-Zertifikaten erhalten. Jedes Zertifikat hat seine eigenen Stärken, Prüfverfahren und Kosten.
Domänenvalidierte (DV) Zertifikate
DV-Zertifikate sind in der Regel kostengünstiger als EV- oder OV-SSL-Zertifikate. Sie sind zwar in der Regel am preiswertesten, bieten aber nur eine grundlegende Überprüfung. DV-Zertifikate werden in der Regel von Websites mit geringem Risiko verwendet, z. B. von Message Boards oder Blogseiten.
Extended Validation (EV)-Zertifikate
Ein erweitertes Validierungszertifikat beinhaltet die höchste Stufe der Validierung und ist in der Regel die teuerste Art von SSL-Zertifikat. Renommierte Websites, die Online-Shopping oder E-Commerce anbieten, verwenden in der Regel diese Art von Zertifikat. Zusätzlich zum Vorhängeschloss-Zeichen zeigt ein EV SSL-Zertifikat den Namen und das Land einer Organisation in der Adressleiste an.
Organisationsvalidierte (OV) Zertifikate
Wie EV-Zertifikate bieten auch OV-Zertifikate im Vergleich zu DV-SSL-Zertifikaten ein höheres Maß an Validierung. Bei OV-Zertifikaten werden auch die Informationen des Website-Eigentümers in der Adressleiste angezeigt.
Wildcard-SSL-Zertifikate
Ein Wildcard SSL-Zertifikat sichert eine Hauptdomain und eine unbegrenzte Anzahl von Subdomains mit einem Zertifikat. Unternehmen mit mehreren Subdomains unter einer einzigen Domain neigen dazu, diese Art von Zertifikat zu erwerben, um die Kosten zu senken.
Multi-Domain SSL-Zertifikate
Multidomain-SSL-Zertifikate gehen einen Schritt weiter als Wildcard-SSL-Zertifikate. Sie ermöglichen es, mit einem einzigen Zertifikat viele Domains und Subdomains zu sichern. Diese Arten von Zertifikaten eignen sich am besten für Organisationen mit mehreren Websites.
Kauf eines SSL-Zertifikats: Wie man ein SSL-Zertifikat erwirbt
Beginnen Sie mit der Suche nach verschiedenen SSL-Zertifikaten und wählen Sie dasjenige aus, das Ihren Anforderungen entspricht. Wenn Sie zum Beispiel eine einzige Domain mit vielen Subdomains haben, benötigen Sie möglicherweise ein Wildcard-SSL-Zertifikat. Alternativ können Sie sich auch für ein DV-Zertifikat für Ihre persönliche Seite entscheiden.
Nachdem Sie Ihren Zertifikatstyp ausgewählt haben, kaufen Sie Ihr Zertifikat ein, indem Sie die Liste der Zertifizierungsstellen (CA) überprüfen. Die Zertifikate von Zertifizierungsstellen unterscheiden sich im Preis. Während einige Zertifikate kostenlos sind, können andere Hunderte oder sogar Tausende von Dollar kosten.
Bereiten Sie Ihren Server vor, um sicherzustellen, dass Ihr WHOIS-Eintrag mit Ihrem Antrag bei Ihrer CA übereinstimmt. Als Nächstes müssen Sie einen Certificate Signing Request (CSR) erstellen. Ihre CSR enthält Ihre Daten und Ihren öffentlichen Schlüssel. Nachdem Sie Ihre CSR an Ihre Zertifizierungsstelle übermittelt haben, müssen Sie möglicherweise weitere Unterlagen einreichen, z. B. einen Nachweis über den Besitz Ihrer Domain.
Nachdem Sie die Zertifikatsdateien erhalten haben, können Sie Ihr SSL installieren. Der Vorgang hängt von Ihrem Servertyp ab. Wenden Sie sich an Ihren Website-Anbieter, wenn Sie Hilfe benötigen. Später müssen Sie Ihre Website für die Verwendung von HTTPS konfigurieren. Sie können einen SSL-Checker verwenden, um sicherzustellen, dass Ihr Zertifikat authentisch und korrekt installiert ist.
SSL-Zertifikat erneuern: Wie man ein SSL-Zertifikat erneuert
SSL-Zertifikate haben ein Verfallsdatum. Planen Sie im Voraus, um sicherzustellen, dass die Erneuerung Ihres SSL-Zertifikats pünktlich erfolgt. Wenn Sie die Erneuerung verzögern, kann Ihre Website ihr Vertrauenssiegel verlieren.
Das Verfahren zur Erneuerung eines SSL-Zertifikats ähnelt dem Kauf eines neuen Zertifikats. Sie müssen eine neue CSR generieren und sie an Ihre Zertifizierungsstelle senden. Außerdem müssen Sie die aktualisierten SSL-Zertifikatsdateien wie zuvor auf Ihrem Server installieren und mit einem SSL-Checker sicherstellen, dass Ihr Zertifikat korrekt installiert ist.
Preise für SSL-Zertifikate: Wie viel kostet ein SSL-Zertifikat?
Die Preise für SSL-Zertifikate sind sehr unterschiedlich. Während einige SSL-Zertifikate kostenlos erhältlich sind, können SSL-Zertifikate auf Unternehmensebene Tausende von Dollar pro Jahr kosten. Die Kosten für ein SSL-Zertifikat hängen von der Anzahl der Domänen und Unterdomänen, der Art des Zertifikats, dem Sicherheitsniveau und dem Ruf der Zertifizierungsstelle (CA) ab.
TLS vs. SSL-Zertifikat: Der Unterschied zwischen TLS und SSL
SSL (Secure Sockets Layer) und TSL (Transport Layer Security) sind beides Verschlüsselungsprotokolle, wobei TLS die modernere Version ist. TLS gilt als sicherer und moderner mit einem besseren TLS-Handshake. TLS ist außerdem rückwärtskompatibel und kann eine Verbindung zu einem SSL-Server herstellen.
Die Begriffe "SSL" und "TLS" werden im Internet oft synonym verwendet, obwohl letzterer ein Ersatz für ersteres ist. Viele Zertifikatsaussteller bezeichnen ihre TLS-Zertifikate sogar als SSL-Zertifikate.
So prüfen Sie, ob eine Website ein SSL-Zertifikat hat
https://
Prüfen Sie, ob die Adresse der Website mit dem Akronym "HTTPS" beginnt. HTTPS ist die Abkürzung für Hyper-Text Transfer Protocol Secure.
Vorhängeschloss-Symbol
Eine Website mit einem SSL-Zertifikat sollte ein Vorhängeschloss in der Adressleiste haben. Sie können auf das Vorhängeschloss klicken, um mehr über die ausstellende SSL-Behörde, das Ablaufdatum und den Eigentümer der Website zu erfahren.
Grüne Adressleiste
Die grüne Adressleiste war ein SSL-Indikator für Websites mit EV SSL-Zertifikaten. Die großen Browserentwickler wie Apple und Google halten sie jedoch inzwischen für überholt.
Werkzeuge
Einige Websites und Browsererweiterungen können überprüfen, ob eine Website über ein gültiges SSL-Zertifikat verfügt. Sie können z. B. die URL einer Website in SSL Shopper'sSSLChecker eingeben, um sich über deren Zertifizierung zu informieren.
Was ist ein SSL-Zertifikatsfehler?
Ein SSL-Zertifikatsfehler kann auftreten, wenn es ein Problem mit dem Zertifikat einer Website gibt. Ein SSL-Zertifikatsfehler kann aus verschiedenen Gründen auftreten. Während einige Fehler auf harmlose Gründe zurückzuführen sind, können andere auf bösartige Faktoren zurückzuführen sein. Beim Öffnen einer Website, die einen SSL-Zertifikatsfehler anzeigt, sollten Sie mit Vorsicht vorgehen.
Abgelaufenes SSL-Zertifikat
Wie bereits erwähnt, haben SSL-Zertifikate ein Verfallsdatum. Manchmal vergessen die Inhaber von Websites, ihr SSL-Zertifikat zu erneuern. Ein abgelaufenes SSL-Zertifikat führt dazu, dass Ihr Browser eine Fehlermeldung anzeigt.
SSL-Zertifikat nicht vertrauenswürdig
Jeder Browser kann auf eine Liste vertrauenswürdiger SSL-Zertifikatsanbieter zugreifen. Ihr Browser kann Ihnen mitteilen, dass das SSL-Zertifikat einer Website nicht vertrauenswürdig ist, wenn die ausstellende Stelle der Website nicht auf der Liste steht oder verdächtig ist. Beispielsweise kann eine Fehlermeldung erscheinen, wenn das Zertifikat selbst signiert oder von einem betrügerischen Aussteller bezogen wurde.
SSL falsch konfiguriert
Nach der Beschaffung eines SSL-Zertifikats muss der Inhaber einer Website dieses korrekt installieren und konfigurieren. Ein falsch konfiguriertes SSL-Zertifikat kann zu einem Fehler auf der Website führen.
Name stimmt nicht überein
SSL-Zertifikate werden für bestimmte Domänen und Unterdomänen ausgestellt. Eine Nichtübereinstimmung in den Datensätzen führt dazu, dass ein Browser eine Fehlermeldung anzeigt.
SSL-Zertifikat widerrufen
Die Aussteller von SSL-Zertifikaten können ein Zertifikat vor seinem Ablaufdatum widerrufen, wenn der private Schlüssel kompromittiert wurde oder die Domäne geschlossen wird. Eine Website kann auch beantragen, dass ihr Zertifikat widerrufen wird. Unabhängig davon, warum das SSL-Zertifikat widerrufen wurde, führt dies zu einem Fehler.
Sind SSL-Zertifikate kostenlos?
Zwar sind nicht alle SSL-Zertifikate kostenlos, aber einige sind tatsächlich kostenlos. Bei den kostenlosen SSL-Zertifikaten handelt es sich in der Regel um Domain Validated (DV)-Zertifikate. Sie sind am besten für persönliche Seiten oder kleine Unternehmen geeignet. Größere Websites sollten kostenpflichtige Zertifikate erwerben, die bessere Sicherheit und mehr Funktionen als DV-SSL-Zertifikate bieten.
Kann eine Website ohne SSL gehackt werden?
Ein SSL-Zertifikat sichert nur die Verbindung zwischen einem Benutzer und einer Website. Eine Website mit oder ohne SSL-Zertifikat kann auf verschiedene Weise gehackt werden. Bedrohungsakteure können Sicherheitsschwachstellen, schwache Anmeldedaten, schlechte Codierung, veraltete Software und andere Mittel ausnutzen, um eine Website zu hacken.
Zu den Techniken des Website-Hackings gehören:
-
SQL-Einschleusung.
-
Cross-Site-Scripting (XSS).
-
Brute-Force-Angriffe wie dieserrekordverdächtige DDoS-Angriff.
-
Malware fällt.
-
Phishing-Expeditionen auf Website-Mitarbeiter.
Wie lange sind SSL-Zertifikate gültig?
Es gab eine Zeit, in der SSL-Zertifikate mit einer Gültigkeitsdauer von fünf Jahren ausgestellt werden konnten. Dieser Zeitraum wurde jedoch mehrmals angepasst. Seit Ende 2020 kann ein SSL-Zertifikat nicht länger als 13 Monate ausgestellt werden.
Bedeutet ein SSL-Zertifikat, dass die Nutzung einer Website sicher ist?
Obwohl ein SSL-Zertifikat bedeutet, dass Ihre Verbindung zu einer Website sicher ist, bedeutet es nicht unbedingt, dass die Nutzung der Website sicher ist. So können beispielsweise auch bösartige Websites einige Arten von SSL-Zertifikaten erhalten, wie z. B. DV-Zertifikate.
Phishing-Websites können zwar DV-Zertifikate enthalten, sind aber darauf ausgelegt, vertrauliche Informationen wie Namen, Adressen, Kennwörter und Kreditkartendaten zu stehlen. Phishing-Websites sehen zwar legitim aus, können aber grammatikalische Fehler, minderwertige Grafiken, schlechtes Design oder Angebote aufweisen, die zu gut aussehen, um wahr zu sein.
Darüber hinaus können Bedrohungsakteure legitime Websites mit SSL-Zertifikaten hacken, indem sie verschiedene Tools und Exploits einsetzen.
Im Folgenden finden Sie einige Schritte, mit denen Sie die Sicherheit einer Website überprüfen können:
-
Verwenden SieMalwarebytes Browser Guard um Webseiten zu blockieren, die Malware, Betrug und andere bösartige Inhalte enthalten.
-
Abonnieren Sie einen Virtual Private Network (VPN)-Dienst, um Ihre Daten zu verschlüsseln und IhreIP-Adresse zu verbergen. Sie erfahren, wieVPN funktioniert, um Ihre Daten zu verschlüsseln und Ihren Standort zu verbergen.
-
Stellen Sie sicher, dass die URL der Website richtig geschrieben ist. Eine Phishing-Website mit einem einfachen SSL-Zertifikat, die sich als Walmart.com ausgibt, kann eine sehr ähnliche Adresse haben, die sich nur um ein oder zwei Zeichen unterscheidet. Anstelle von Walmart.com kann sie beispielsweise Walmert.com oder Walmrat.com lauten.
-
Achten Sie auf das Vorhängeschloss-Zeichen und die Abkürzung HTTPS in der Adressleiste, um sicherzustellen, dass die Website über ein SSL-Zertifikat verfügt. Zumindest bietet eine Website mit einem SSL-Zertifikat eine verschlüsselte Verbindung.
-
Klicken Sie auf das Vorhängeschloss in der Adressleiste des Browsers, um die Identität des Eigentümers der Website zu überprüfen und die Zertifizierungsstelle und das Ablaufdatum zu kontrollieren.
-
Prüfen Sie den Ruf der Website mit einem Website-Sicherheits-Checker.
Eine gehackte oder Phishing-Website kann Ihr System auch mit Malware infizieren. Schaffen Sie sich einen Malware-Schutz an, um sicherzustellen, dass Ihre Computer und Geräte frei von bösartiger Software sind. Befolgen Sie diese Internet-Sicherheitstipps für mehr Sicherheit für Ihren Browser.