SSL-geschützte Webseiten 

Preise für SSL-Zertifikate

Üblicherweise werden im Internet Webseiten per HTTP übertragen.

Dieses Protokoll hat den Nachteil, dass die Daten im Klartext vom Browser des Clients bis zum Webserver gesendet werden - die aufgerufene Webseite wird auf dem gleichen Weg, unverschlüsselt, zurückgeschickt.

Angreifern, die sich „zwischen“ dem Client und dem Server befinden, können somit jegliche Kommunikation nicht nur mitlesen, sondern auch verändern. Beim Abruf von Webseiten ist dies zwar normalerweise kein großes Problem - beim Senden oder Empfangen von privaten bzw. persönlichen Daten allerdings hinderlich.

Ein Angreifer kann somit beispielsweise beim Login einem Forum oder einem internen Bereich den übermittelten Benutzernamen und das Passwort mitschneiden und anschließend für sich selbst verwenden.

Auch nach dem Login besteht noch Gefahr: Cookies, die im Client gespeichert sind, werden bei jeder Anfrage erneut an den Server gesendet. Erhält ein Angreifer Zugriff auf diese Cookies, kann er dieses ebenfalls verwenden und benötigt Benutzername und Passwort gar nicht mehr1).

Ähnliches gilt für die Daten, die bei der Bestellung in einem Webshop gesendet werden.

Abhilfe schafft nun HTTPS (sprich: HTTP Secure). Bevor Daten zum Server gesendet werden, handeln Client und Server eine gesicherte Verbindung aus. Der Server sendet zu Beginn sein sog. Zertifikat an den Client, anhand dessen der Client verifizieren kann, ob er tatsächlich mit dem gewünschten Server spricht. Sobald die Verbindung dann verschlüsselt ist, werden alle weiteren Daten (Anfrage, die der Client an den Server sendet, sowie Antwort mit dem Inhalt der Webseite vom Server) verschlüsselt gesendet.

Diese verschlüsselte Verbindung ist so sicher, dass es einem Angreifer maßgeblich erschwert wird, Daten mitzulesen oder gar zu ändern2).

Wir empfehlen daher für alle Web-Shops den Kauf eines SSL-Zertifikates, um die Seitenübertragung zu verschlüsseln. Auch Webseiten, deren Inhalte als „kritisch“ angesehen werden, sollten auf unser SSL-Angebot zurückgreifen.

Unterschiedliche Zertifikatstypen

SSL-Zertifikate sind in vier Kategorien verfügbar, die sich lediglich durch die Art der Darstellung unterscheiden. Bei allen SSL-Zertifikaten wird trotz eventuellen Warnungen die Verbindung verschlüsselt und werden somit die Daten sicher übertragen!

  1. selbst-signierte Zertifikate oder Zertifikate unbekannter Aussteller: für unsere Webhosting-Kunden stellen wir kostenfrei ein selbst-signiertes Zertifikat zur Verfügung. Beim Aufruf einer so geschützten Webseite zeigen so gut wie alle Browser eine Fehlermeldung an und warnen davor, die Seite weiter zu verwenden. Für interne Bereiche, auf die nur ausgewählte Personen Zugriff haben sollten, ist diese Art von Schutz ausreichend.
  2. Domain-validierte Zertifikate: die Zertifikate werden von einer bekannten / vertrauten Zertifizierungsstelle ausgestellt. Ob der Antragssteller berechtigt ist, für die gewünschte Domain ein Zertifikat auszustellen, wird aber nur mit einer Verifizierungs-E-Mail geprüft. Diese kann nur an einen beschränkten Pool an E-Mail-Adressen gesendet werden: Mailadressen aus dem Whois oder Adressen wie „webmaster@“ oder „postmaster@“. Damit soll sichergestellt sein, dass nur ein begrenzter Personenkreis diese Berechtigung erhält.
    Die relativ geringe Verifizierungshürde zeigt sich dann auch im Zertifikat. Lassen sich Besucher die Details des Zertifikates anzeigen, so ist dort nur die Domain aufgeführt. Daten über den Domaininhaber fehlen im Zertifikat.
    Allerdings werden solche Zertifikate durch die vollständige Automatisierung binnen weniger Minuten ausgestellt.
  3. Organisationsvalidierte Zertifikate: ähnlich wie Domain-validierte Zertifikate werden diese nur nach einer Verifizierung ausgestellt. Zusätzlich zur E-Mail-Adresse wird jedoch auch noch die Organisation überprüft, indem entweder die Firma eingetragen ist (Kapitalgesellschaften, …) oder anderweitige Nachweise der Rechtmäßigkeit an die Zertifizierungsstelle übermittelt werden. Je nach Zertifizierungsstelle und Zertifikatstyp wird auch ein (persönlicher) Anruf durchgeführt. Diese Dokumente werden dann geprüft, so dass der Organisations-/Firmenname, Anschrift etc. dann auch zusätzlich zum Domain-Namen im Zertifikat erscheinen.
    Organisationsvalidierte Zertifikate werden üblicherweise an Werktagen binnen weniger Stunden ausgestellt.
  4. Extended Validation Zertifikate: dieser Typ SSL-Zertifikat wird ausschließlich an eingetragene Firmen ausgestellt und ist nicht für Privatpersonen verfügbar. Die Validierung ist im Vergleich zu Organisationsvalidierten Zertifikaten nochmals erweitert.
    Im Zertifikat werden dann diese Daten ebenfalls aufgeführt.
    Hauptunterschied ist jedoch, dass Browser diese EV-Zertifikate mit einer „grünen Adressleiste“ sowie dem Firmennamen kennzeichnen, um die verbesserte Prüfung auch dem Besucher darzustellen.
2)
100%ige Sicherheit kann nicht gewährleistet werden!