Kostenpflichtige vs. kostenlose TLS/SSL-Zertifikate
Seitenbetreiber wissen, dass SSL-Zertifikate sich nicht nur positiv auf das Google-Ranking auswirken, sondern inzwischen auch von sämtlichen Browser-Anbietern gefördert werden. Doch es gibt verschiedene Versionen, die sich auch in der Sicherheitsleistung unterscheiden.
Published by
Simone Catania
Date
Eine TLS/SSL-Verschlüsselung ist ein wichtiger Vertrauensindikator für die User jeglicher Websites – egal ob Shop, Blog oder Corporate Websites. Konkret bedeutet HTTPS, dass die Kommunikation zwischen Webserver und Client verschlüsselt wird – das “S” steht an dieser Stelle für “Secure”.
Ist eine Seite mit einem TLS/SSL-Zertifikat gesichert, können Dritte während der Übertragung nicht auf die übermittelten Daten zugreifen. Diese Verschlüsselung macht die Übertragung aber nicht langsamer – im Gegenteil: Der Pagespeed kann durch HTTP/2 sogar gesteigert werden.
Zum Vergleich: HTTP/1.1 verwendet zum Laden von unterschiedlichen Seitenelementen wie JS-, CSS- und Bilddateien mehrere TCP Verbindungen, während bei HTTP/2 mehrere Daten parallel über nur eine Verbindung übertragen werden. Informationen werden komprimiert im Binärcode übertragen. Außerdem werden Datenpakete sortiert und in einer bestimmten Reihenfolge übertragen: Für den Aufbau einer Seite benötigte Daten werden zuerst übermittelt.
TLS/SSL-Zertifikate sind Ranking-Faktoren
Secure Socket Layer (SSL) ist ein Protokoll, das entwickelt wurde, um eine sichere Datenübertragung über das Internet zu ermöglichen. Kostenpflichtige SSL-Zertifikate werden z. B. bei Homebanking oder als Lösungen für Online-Shops eingesetzt. Alle Browser wie Internet Explorer, Netscape, Mozilla Firefox, Safari usw. unterstützen diesen Standard.
Sowohl für kostenlose als auch kostenpflichtige TLS/SSL-Zertifikate gilt: Verschlüsselungen bauen verschlüsselte Verbindungen zwischen Server und Client auf mit Zertifikaten nach dem X.509 Standard und ermöglichen die Sicherstellung der Nachrichtenintegrität mithilfe des Public-Key-Verfahrens. Dabei werden Daten mit einem öffentlich zugänglichen Schlüssel codiert und sind dann nur mit einem privaten Schlüssel wieder decodierbar.
Ganz konkret: Wie funktioniert das mit der SSL-Verschlüsselung?
Zertifizierungsstellen (Certification Authority, kurz: CA) wie DigiCert oder Sectigo ist für die Ausgabe und Signierung der TLS-SSL-Zertifikate zuständig und bestätigt Usern die Echtheit der Seite und abhängig von der Art des Zertifikats auch des Unternehmens. Ist die Website geprüft, wird auf dem Webserver ein Zertifikat hinterlegt.
Egal, ob es sich um ein kostenloses oder ein kostenpflichtiges TLS/SSL-Zertifikat handelt: Die Verschlüsselung läuft grundsätzlich gleich ab. Der Server authentifiziert sich zunächst gegenüber dem Client als Zertifikatsinhaber. Im Anschluss wird eine asymmetrische Verschlüsselung aufgebaut und die entsprechenden Schlüssel werden ausgetauscht.
Durch diese Schlüssel wird die asymmetrische Codierung erst möglich, da die gesamte Kommunikation zwischen Client und Server chiffriert wird. Selbst wenn ein einmaliger Hack gelingen sollte, ist die Freude des Angreifers von kurzer Dauer: Die Schlüssel werden während der gesamten Kommunikation regelmäßig erneuert.
Der Unterschied: Kostenlose und kostenpflichtige SSL-Zertifikate
Bei einem kostenlosen SSL-Zertifikat, dem DV-Zertifikat (Domain Validation), wird lediglich der Besitz der Domäne überprüft. Die Überprüfung wird bei kostenlosen SSL-Zertifikaten automatisch, also nicht von einer realen Person, durchgeführt. Die automatische Implementierung des SSL-Zertifikats klingt vor allem für Seitenbetreiber nach weniger Arbeitsaufwand, bringt aber nicht nur Vorteile mit sich.
Auch wenn die Ausstellung des DV-Zertifikats schneller erfolgt als die von kostenpflichtigen SSL-Zertifikaten, ist von einer Verwendung auf öffentlichen Seiten abzusehen. Den ersparten Arbeitsaufwand bereut man unerwartet schnell, wenn man Opfer einer Phishing-Attacke geworden ist: Viele Hacker nutzen inzwischen SSL/TLS-Zertifizierungen und suggerieren Nutzern mit gefälschten Phishing-Loginseiten über HTTPS, die offizielle Website zu sein.
Seitenbetreiber öffentlich zugänglicher Websites sollten deshalb keine Mehrkosten sparen und auf kostenpflichtige SSL-Zertifikate setzen.
Sowohl bei OV-, als auch bei EV-Zertifikaten wird die Überprüfung nicht automatisch, sondern manuell vorgenommen. Der Mitarbeiter der jeweiligen CA überprüft entweder mit einem Telefonanruf, einer Überprüfung des Handelsregister-Eintrags oder beidem, ob sich hinter einer Website ein reales Unternehmen befindet.
Wie unterscheiden sich nun die kostenpflichtigen SSL-Zertifikate?
Bei den kostenpflichtigen TLS/SSL-Zertifikaten gibt es Extended Validation (EV) und Organisation Validation (OV) Zertifikate.
1. Organisation Validation (OV)
Bei dieser Art des TLS/SSL-Zertifikats sind validierte Unternehmensangaben im Zertifikat hinterlegt, die dem Besucher suggerieren, dass er sich nicht nur auf einer gesicherten Website befindet, sondern dass hier auch überprüft wurde, ob diese zu einem seriösen Unternehmen gehört. Die CA hat also den Besitz der Domäne überprüft und zusätzliche Informationen wie den registrierten bzw. gesetzlichen Namen des Unternehmens, den Standort und andere Angaben kontrolliert. Diese Zertifikats-Form wird in aller Regel für öffentlich zugängliche Websites verwendet, auf denen Transaktionen mit weniger sensiblen Daten durchgeführt werden, z. B. Informations-Websites.
2. Extended Validation (EV)
Das EV-Zertifikat weist die stärkste sichtbare Bestätigung der Identität, die hinter einer Website steht, nach. Dem Nutzer wird suggeriert, dass er auf dieser Website seine sensiblen und schützenswertesten Daten preisgeben kann, da diese tatsächlich sicher und verschlüsselt übermittelt werden.
Bei diesem Zertifikat werden neben dem Besitz der Domäne und den zusätzlichen Informationen, die auch beim OV-Zertifikat überprüft werden, identifizierende Details wie der rechtliche Status, physische und betriebliche Existenz, die Berechtigung zum Unterschreiben von Verträgen usw. von der CA abgefragt.
Dieser Zertifikatstyp wird normalerweise für Websites verwendet, die eine Anmeldung verlangen, private Informationen oder andere sensible Daten verarbeiten oder Zahlungen annehmen, wie z. B. Online-Shops oder Banking-Seiten.
Es ist nicht immer leicht, das geeignete TLS/SSL-Zertifikat für ein Projekt zu finden. Generell ist festzuhalten, dass der Einsatz eines SSL-Zertifikats nur Vorteile bringt. Owner von Unternehmenswebsites und solchen, auf denen sensible Daten verarbeitet werden, sollten sich jedoch auf jeden Fall mit OV- und EV-Zertifikaten auseinandersetzen.
In AutoDNS prüft der integrierte SSL-Wizard verschiedene Faktoren und kann dabei helfen, das passende Zertifikat zu finden.