In den Anfängen des Internets wurden alle Website-Anfragen und -Antworten im "Klartext" übertragen. Das bedeutete, dass sie potenziell von digitalen Abhörer:innen eingesehen werden konnten, was die Übertragung von Anmeldedaten, Kreditkartennummern und anderen sensiblen persönlichen Informationen riskant machte.
Mitte der 1990er Jahre entwickelte Netscape ein Sicherheitsprotokoll zur Verschlüsselung vertraulicher Informationen für die Übermittlung und Übertragung von Webinhalten. Dieses Protokoll wurde SSL (Secure Sockets Layer) genannt und später zu einem weiteren Protokoll namens TLS (Transport Layer Security) weiterentwickelt.
SSL und TSL unterscheiden sich zwar in Bezug auf ihre Fähigkeiten und ihren Aufbau, bieten aber beide Sicherheit durch den Einsatz einer digitalen Technologie namens SSL-Zertifikat.
Was ist ein SSL-Zertifikat?
Ein SSL-Zertifikat ist ein digitales Zertifikat, das die Identität einer Website bestätigt und eine verschlüsselte Verbindung zwischen ihr und einem Browser herstellt.
Manchmal werden sie auch als SSL/TLS-Zertifikate oder digitale Zertifikate bezeichnet. Sie schützen die Identität der Gegenstelle und machen Online-Interaktionen privat.
Sie stellen sicher, dass niemand außer dem Absender und dem Empfänger die über die sichere Verbindung ausgetauschten Inhalte lesen oder verändern kann. Ein SSL-Zertifikat fungiert sowohl als Ausweis, der die Identität der Website-Besitzer:innen bestätigt, als auch als Schlüssel, der die Nutzerdaten durch starke Verschlüsselung schützt.
Was ist eine SSL-Zertifizierungsstelle?
SSL-Zertifikate werden von Institutionen sogenannten Zertifizierungsstellen (auch CA genannt für certificate authorities) ausgestellt. Eine Zertifizierungsstelle ist eine vertrauenswürdige dritte Organisation, die die Identität einer Website garantiert. Sie sind vertrauenswürdig, weil sie nur wenige sind, gut bekannt sind und hohe Eintrittsbarrieren überwinden müssen. Weltweit gibt es etwas mehr als 100 Zertifizierungsstellen, die regelmäßig überprüft werden.
Bevor die Stelle ein Zertifikat ausstellt, überprüft sie die Angaben der Antragsteller:innen, wie z. B. die Eigentumsverhältnisse, den Namen, den Standort und vieles mehr, gemäß den gängigen Branchenstandards. Die Zertifizierungsstelle signiert das Zertifikat digital mit ihrem eigenen privaten Schlüssel, damit die Kund:innen es überprüfen können. Für diesen Service verlangen die meisten Zertifizierungsstellen eine geringe Jahresgebühr (obwohl einige Web-Hoster und gemeinnützige Zertifizierungsstellen kostenlose SSL-Zertifikate anbieten).
Das SSL-Zertifikat ist eine kleine digitale Datei, in der Regel einige Kilobyte groß, die auf dem Server, der TLS unterstützt, installiert und mit anderen geteilt wird. Diese Datei enthält:
- Der Domainname der Website, für die das Zertifikat ausgestellt wurde
- Die Organisation, für die es ausgestellt wurde (der/ die Zertifikatsinhaber:in)
- Der Name der ausstellenden Zertifizierungsstelle
- Die digitale Signatur der Zertifizierungsstelle
- Alle zugehörigen Subdomains
- Das Ausstellungsdatum und das Ablaufdatum des Zertifikats
- Der öffentliche Schlüssel (der private Schlüssel wird nicht geteilt)
Wenn du einen Browser verwendest, um eine URL aufzurufen, die mit "https" beginnt, oder ein grünes Vorhängeschloss-Symbol in der Adressleiste des Browsers siehst, weißt du, dass du eine sichere TLS-Verbindung hast, die durch ein von einer Zertifizierungsstelle ausgestelltes SSL-Zertifikat verifiziert wurde. Wenn du auf das Vorhängeschloss-Symbol klickst, werden zusätzliche Informationen über das SSL-Zertifikat, die Domaininhaber:innen und die Verbindung angezeigt.
Dieses Vorhängeschloss bedeutet zwar, dass deine Verbindung zu der Website sicher ist, aber es bedeutet nicht unbedingt, dass die Website sicher ist. Nur weil du eine sichere Verbindung zu einer Website herstellen kannst, heißt das nicht, dass sie nicht von kriminellen Akteur:innen kontrolliert wird.
Wie funktionieren SSL-Zertifikate?
Ein SSL-Zertifikat verwendet Verschlüsselungsalgorithmen, um Daten während der Übertragung zu verschlüsseln. Dadurch wird sichergestellt, dass alle Daten, die zwischen einem Browser und einer Website übertragen werden, für Dritte nicht lesbar sind.
Die sichere Kommunikation über TLS beruht auf zwei Zertifikaten - einem öffentlichen und einem privaten - um eine sichere Verbindung herzustellen.
Wenn ein Browser versucht, eine Verbindung zu einer mit TLS gesicherten Website herzustellen, wird diese Kommunikation durch einen "Handshake" oder eine Hin- und Her-Kommunikation aufgebaut, die nur wenige Millisekunden dauert. Die Schritte in diesem Handshake sind:
- Der Client (Browser) verbindet sich mit der SSL-gesicherten Website (Server).
- Der Client fordert den Server auf, sich zu identifizieren.
- Der Server sendet eine Kopie seines SSL-Zertifikats.
- Der Client prüft das SSL-Zertifikat auf seine Vertrauenswürdigkeit und signalisiert dem Server, wenn es gültig ist.
- Der Server initiiert eine digital signierte Vereinbarung, um eine SSL-verschlüsselte Sitzung zu starten.
- Verschlüsselte Daten fließen jetzt frei und sicher zwischen dem Browser und dem Server.
Der erste Handshake verwendet eine asymmetrische Verschlüsselung, die auf öffentlichen und privaten Schlüsseln basiert. Nach der Validierung tauschen der Client und der Server temporäre private Schlüssel aus, die nur für die Sitzung verwendet werden. Dies ermöglicht eine effizientere Verschlüsselung und Entschlüsselung.
Arten von SSL-Zertifikaten
Um das Beste aus SSL herauszuholen, musst du das richtige SSL-Zertifikat wählen. Verschiedene SSL-Zertifikate dienen unterschiedlichen Zwecken und haben unterschiedliche Kosten, die du berücksichtigen musst:
- Domain Validated (DV SSL) Zertifikat
- Organization Validated (OV SSL) Zertifikat
- Extended Validation (EV SSL) Zertifikat
Domain Validated (DV SSL) Zertfikikat
Kosten: 0€ - 200€ pro Jahr
Ein DV SSL-Zertifikat beinhaltet eine minimale, automatisierte Identitätsüberprüfung, die nur feststellt, dass Inhaber:innen die Kontrolle über die Domain oder Subdomain haben. Dies geschieht in der Regel per E-Mail.
Ein DV SSL-Zertifikat ist die günstigste Art, ein Zertifikat zu erhalten, und die meisten kostenlosen SSL-Zertifikate sind von diesem Typ. Es stellt jedoch den niedrigsten Standard der Website-Sicherheit dar. DV-Zertifikate sind nützlich für Blogs, einzelne Websites, kleine Unternehmen oder jede Website mit den einfachsten Sicherheitsanforderungen.
Organization Validated (OV SSL) Zertifikat
Kosten: 100€ - 400€ pro Jahr
Ein OV-SSL-Zertifikat bietet eine stärkere Garantie für die Identität der Inhaber:innen. Um ein OV-Zertifikat zu erhalten, müssen die Käufer:innen neun Validierungsprüfungen bestehen.
Dies ist ein mittleres Unternehmenszertifikat, bei dem die ausstellende Zertifizierungsstelle garantiert, dass die Organisation, die mit dem Zertifikat verbunden ist, gültig ist und einen guten Ruf hat. Dies ist ein guter Ansatz für Unternehmen, die keine Finanz- oder E-Commerce-Transaktionen über ihre Website durchführen.
Extended Validation (EV SSL) Zertifikat
Kosten: 400€+ pro Jahr
Ein EV SSL-Zertifikat stellt die höchste Stufe der Identitätsprüfung dar und eignet sich daher am besten für Unternehmen, Finanzunternehmen und E-Commerce-Websites. Sechzehn Validierungsprüfungen werden durchgeführt, einschließlich der rechtlichen Identität und des Standorts.
Die Endnutzer:innen sehen eine grüne Browserleiste, die die höchste Verifizierungsstufe anzeigt, sowie zusätzliche Unternehmensinformationen hinter dem Vorhängeschloss.
Der Unterschied zwischen HTTP und HTTPS
HTTP steht für Hypertext Transfer Protocol. Es sendet Informationen zwischen einer Website und ihren Besucher:innen im Klartext, den jeder abfangen und lesen kann. Stell dir das so vor, als würdest du eine Postkarte mit der Post verschicken. Jeder, der die Postkarte in die Hand nimmt, wie z. B. Postbot:innen oder die Mitarbeiter:innen der Sortieranlage, können lesen, was auf der Karte steht.
HTTPS steht für Hypertext Transfer Protocol Secure. Es verwendet SSL/TLS-Zertifikate, um verschlüsselte Verbindungen herzustellen. Alle übertragenen Daten - wie Kreditkartennummern oder Passwörter - werden in einen komplexen Code verschlüsselt, den nur deine Website und der Browser der Besucher:innen entschlüsseln können. Stell dir das so vor, als würdest du wieder eine Postkarte verschicken, aber in einem verschlossenen Aktenkoffer, zu dem nur du und die Empfänger:innen den Schlüssel haben.
HTTPS ist inzwischen zum Standard geworden. Moderne Browser zeigen ein Vorhängeschloss-Symbol für HTTPS-Websites an und geben den Besucher:innen die Gewissheit, dass deine Website seriös und sicher ist. HTTP-Websites werden als "nicht sicher" gekennzeichnet, was potenzielle Kund:innen sofort abschrecken kann.
Was du tun kannst, wenn dein SSL-Zertifikat kompromittiert wurde
Wenn du erfährst, dass dein SSL-Zertifikat kompromittiert wurde, ist das so, als würdest du feststellen, dass jemand deinen Hausschlüssel kopiert hat. Das ist eine ernste Sache, aber es gibt eine Möglichkeit, das zu beheben:
- Reagiere sofort. Widerrufe dein kompromittiertes Zertifikat sofort über deine Zertifizierungsstelle (CA). Schalte deine Website vorübergehend ab, wenn du aktive Angriffe vermutest.
- Untersuche den Verstoß. Alarmiere deinen Sicherheitsserviceund finde heraus, wie das Zertifikat kompromittiert wurde. Überprüfe deine Serverprotokolle auf ungewöhnliche Aktivitäten und achte auf Anzeichen für unbefugten Zugriff oder Malware, wie Verbindungsversuche von ungewöhnlichen IP-Adressen oder mehrere fehlgeschlagene Zertifikatsvalidierungsversuche.
- Hol dir ein neues Zertifikat. Beantrage ein neues SSL-Zertifikat bei deiner Zertifizierungsstelle. Erstelle einen neuen privaten Schlüssel (sehr wichtig - verwende den alten nicht wieder!). Installiere und konfiguriere dann das neue Zertifikat auf deinen Servern.
- Erhöhe die Sicherheit deines E-Commerce. Erwäge den Wechsel zu einer sichereren Art von Zertifikat. Richte eine automatische Überwachung ein, um zukünftige Probleme schneller zu erkennen.
Mit Shopify Protect brauchst du dir keine Sorgen mehr über Betrugsprävention zu machen. Mit Betrugserkennungsalgorithmen, die Bestellungen mit hohem Risiko kennzeichnen, und einem Rückbuchungsschutz, der den Streitfall bei einer betrügerischen Transaktion verwaltet, kannst du Shopify Protect noch heute aktivieren, um dein Geschäft zu schützen.
Was ist, wenn du mehrere Domains sichern musst?
Ein einzelnes SSL-Zertifikat sichert einen einzelnen Domainnamen. Viele Unternehmen benötigen jedoch eine Lösung, die mehrere Domainnamen oder Subdomains schützt. Für diese Unternehmen bietet das SSL-Protokoll zwei verschiedene Lösungen: ein Wildcard SSL-Zertifikat oder ein Multi-Domain SSL-Zertifikat. Hier ist der Unterschied zwischen beiden:
Wildcard SSL-Zertifikat
Manche Unternehmen verwenden mehrere Subdomains (z. B. mail.example.com, shop.example.com), um verschiedene Funktionen auf derselben Website zu bedienen. Für diese Unternehmen ist die beste SSL-Lösung in der Regel ein Wildcard-SSL-Zertifikat. Ein Wildcard-SSL-Zertifikat sichert die Hauptdomain einer Website sowie alle zugehörigen Subdomains, was die Kosten senkt und die Verwaltung vereinfacht.
SSL-Zertifikat für mehrere Domains
Während Wildcard-SSL-Zertifikate den Inhaber:innen einer Website helfen, Subdomains innerhalb einer einzigen Domain zu sichern, können Multi-Domain-SSL-Zertifikate (MDC) mehrere Domainnamen auf einmal sichern. Einem Multi-Domain-Zertifikat können über "Subject Alternative Names" (SANs) weitere Domains hinzugefügt werden, ohne dass ein zusätzliches Single-Domain-SSL-Zertifikat erworben werden muss. Multi-Domain-SSL-Zertifikate werden manchmal auch als Unified Communications Certificates (UCC) bezeichnet.
Was passiert, wenn ein SSL-Zertifikat abläuft?
Wenn ein SSL-Zertifikat abläuft, ist das so, als würde man deinem Unternehmen den Vertrauensbonus entziehen. Hier sind einige der Folgen:
- Vergrault Besucher:innen. Besucher:innen, die versuchen, auf deine Website zuzugreifen, sehen beängstigende Warnmeldungen in ihren Browsern. Chrome zeigt vielleicht einen großen roten Bildschirm an, auf dem steht: "Ihre Verbindung ist nicht sicher", während Firefox die Besucher:innen warnt, dass die Verbindung nicht sicher ist. Die meisten Menschen klicken schnell auf den Zurück-Button, wenn sie diese Warnungen sehen.
- Beeinträchtigt die SEO-Fähigkeiten. Auch Suchmaschinen wie Google mögen keine abgelaufenen SSL-Zertifikate und werden wahrscheinlich das Ranking deiner Website in den Suchmaschinenergebnissen senken, da sie sichere Websites bevorzugen. Das bedeutet, dass dich weniger Menschen über die Online-Suche finden werden.
- Beeinträchtigt das Vertrauen der Verbraucher:innen. Wenn Kund:innen Sicherheitswarnungen sehen, werden sie sich fragen, ob es sicher ist, ihre Kreditkarteninformationen oder persönlichen Daten auf deiner Website anzugeben. Manche Kund:innen überlegen es sich zweimal, bevor sie wiederkommen, auch wenn du das Zertifikat repariert hast.
💡 Die gute Nachricht: Die Ablaufdaten von Zertifikaten sind vorhersehbar. Sie stehen direkt auf deinem SSL-Zertifikat. Die meisten Zertifikate haben eine Laufzeit von einem Jahr, manche Anbieter:innen bieten aber auch Zweijahreszertifikate an. Es ist klug, dein Zertifikat mindestens ein paar Wochen vor dem Ablaufdatum zu erneuern.
Wie man ein SSL-Zertifikat erhält
Der Erwerb von Single- oder Multi-Domain-SSL-Zertifikaten und die Sicherung der Nutzerdaten auf deiner Website können komplex sein. Hier erfährst du, wie es geht:
- Bestimme den Grad der Website-Sicherheit, den du brauchst. Wähle zwischen DV, OV oder EV SSL. (Wenn du mehrere Domains oder Subdomains hast, musst du eventuell ein Wildcard- oder MDC-Zertifikat hinzufügen oder ersetzen). Überprüfe deine organisatorischen Anforderungen und dein Budget und wähle die passende Stufe der Identitätsüberprüfung.
- Bestimme die Domains und Subdomains, die unterstützt werden sollen. Wenn du nur eine hast, brauchst du möglicherweise kein Wildcard-Zertifikat zu beantragen.
- Wähle eine Zertifizierungsstelle. Wenn du eine pflegeleichte Website oder einen Blog hast, musst du vielleicht nur mit deinem Web-Hosting-Service zusammenarbeiten und ein kostenloses Zertifikat erhalten. Für Multi-Domain- und EV-Zertifikate musst du eine kostenpflichtige Beziehung zu einer Zertifizierungsstelle eingehen.
- Erstelle eine Zertifikatssignierungsanforderung (CSR). Eine CSR-Datei enthält Informationen über deine Domain und dein Unternehmen und wird von der Zertifizierungsstelle (CA) verwendet, um dein SSL-Zertifikat zu erstellen. Die CSR enthält deinen öffentlichen Schlüssel und muss bei der CA eingereicht werden, wenn du das SSL-Zertifikat beantragst.
- Beantrage ein Zertifikat bei deinem gewählten SSL-Service. Dazu musst du in der Regel Webformulare ausfüllen und Zahlungen leisten.
- Überprüfe die Eigentumsverhältnisse und andere Details. Die Zertifizierungsstelle überprüft die Informationen, die du in deinem Antrag angegeben hast, und verlangt zumindest eine E-Mail-Bestätigung der Domaininhaberschaft.
- Beziehe und installiere das Zertifikat. Je nach der von dir gewählten Zertifizierungsstelle und deiner Webplattform lädst du eine ZIP-Datei herunter, die den öffentlichen Schlüssel, einen privaten Schlüssel und ein Zertifikatspaket enthält. Wenn du mit einem kommerziellen Webhoster arbeitest, enthält die Verwaltungskonsole für deine Website in der Regel Tools für die Zertifikatsinstallation; wenn du mit deiner eigenen Hardware arbeitest, befolge die Dokumentation dieser Umgebung.
- Konfiguriere andere Anwendungen für die Verwendung des Zertifikats. Wenn du SSL-Verbindungen zu anderen Serveranwendungen (z. B. WordPress, E-Mail usw.) unterstützen willst, konfiguriere sie so, dass sie dein Zertifikat und das TLS-Protokoll verwenden.
- Überprüfe, ob deine sichere Verbindung funktioniert. Verbinde dich mit deiner Website und/oder anderen Apps und stelle eine sichere Verbindung sicher. Klicke auf das Vorhängeschloss und überprüfe die Informationen, die in deinem Browser angezeigt werden.
- Melde deine Website(s) bei Suchmaschinen an. Deine neuen "https"-Websites unterscheiden sich von deinen alten "http"-Sites. Wenn sich deine Nutzer:innen auf Suchmaschinen verlassen, um dich zu finden, musst du deine neue https-Adresse erneut übermitteln, damit deine Websites indiziert werden.
Dieser Beitrag erschien ursprünglich im Shopify.com-Blog und wurde übersetzt.
Häufig gestellte Fragen zum SSL-Zertifikat
Wie hoch sind die Kosten für ein SSL-Zertifikat?
Kann ich ein kostenloses SSL-Zertifikat bekommen?
Ist ein SSL-Zertifikat notwendig?
Wie bekomme ich ein SSL-Zertifikat?
- Bestimme das erforderliche Maß an Sicherheit.
- Bestimme die Domains und Subdomains, die unterstützt werden sollen.
- Wähle eine Zertifizierungsstelle.
- Fordere das Zertifikat bei dem gewählten Dienst an.
- Überprüfe die Domaininhaberschaft und andere Kriterien.
- Besorge das Zertifikat und installiere es.
Was ist der Unterschied zwischen SSL und TLS?
Welche Arten von SSL-Zertifikaten gibt es?
- Domain Validated Zertifikat (DV SSL)
- Organization Validated Zertifikat (OV SSL)
- Extended Validation Zertifikat (EV SSL)
- Wildcard SSL-Zertifikat
- Multi-Domain SSL-Zertifikat (MDC)