29. Oktober 2019
Aktualisiert am 23. September

Sicherheit im Internet - Was sind SSL-Zertifikate?

Sichere Datenübertragung ist im Internet von größter Bedeutung. Ein wichtiger Baustein dafür ist das Verschlüsselungsprotokoll TLS, mit dem Websites verschlüsselt werden. Das Protokoll HTTPS baut zum Beispiel auf TLS auf und garantiert damit Schutz im Netz. Seit Mai 2018 ist die Verwendung sicherer Verschlüsselung in der EU Pflicht.

Illustration vernetzter Geräte

Was ist TLS/SSL?

Das TLS-Protokoll (häufig auch heute noch unter dem alten Namen SSL, kurz für Secure Sockets Layer, verbreitet) dient der Ende-zu-Ende-Verschlüsselung von Datenübertragung im Internet. Ende-zu-Ende bedeutet dabei, dass die Verschlüsselung und Entschlüsselung von Eingaben direkt auf den Rechnern der Nutzerinnen und Nutzer erfolgen und nicht erst beim Internetprovider. So wird sichergestellt, dass vertrauliche Daten auch vom Internetanbieter nicht ausgelesen und mitgeschnitten werden können, sondern sicher bis zum Server des Websitebetreibers übertragen werden. Darüber hinaus kann mithilfe des Protokolls die Authentizität eines Absenders validiert werden. Das ist beispielsweise dann wichtig, wenn du per Internet mit deiner Bank kommunizierst. Kriminellen wäre es ohne entsprechende Authentifizierung ein Leichtes, die Log-in-Seite eines Online-Banking-Systems nachzubauen und unbedachte Nutzerinnen und Nutzer damit zu verleiten, ihre Zugangsdaten preiszugeben. Für diesen Authentifizierungsprozess sind sogenannte Zertifikate erforderlich.

Was ist ein SSL-Zertifikat?

Technisch nutzen SSL-Zertifikate sogenannte asymmetrische Verschlüsselungsverfahren. Asymmetrisch bedeutet hier, dass die Chiffrierung (Verschlüsselung) mittels eines anderen Algorithmus erfolgt als die Dechiffrierung (Entschlüsselung). Bildlich kannst du dir das vorstellen wie eine Kombination aus einem Vorhängeschloss und dem zugehörigen Schlüssel. Das Schloss kann jeder abschließen, auch ohne über den passenden Schlüssel zu verfügen. Wieder öffnen kann es aber nur der Besitzer bzw. die Besitzerin. Ein solches offenes Schloss kannst du einem Freund mit der Post schicken und ihn bitten, damit etwas für dich zu verschließen. Doch was geschieht, wenn das Vorhängeschloss auf dem Weg von jemandem ausgetauscht wird? Wenn in der digitalen Kommunikation also jemand vorgibt, der berechtigte Empfänger einer verschlüsselten Information zu sein?

An dieser Stelle kommt die Zertifizierung ins Spiel. Stell dir vor, ein Notar würde die Registrierung von Vorhängeschlössern anbieten. Du könntest dort die einmalige Seriennummer deines Schlosses mit deinem Namen verknüpfen lassen. Der Freund, dem du es schickst, hätte dann die Möglichkeit, sich zu vergewissern, dass das Schloss auch wirklich von dir registriert wurde. Ganz ähnlich funktionieren TLS/SSL-Zertifikate. Bei vertrauenswürdigen Zertifizierungsstellen können die Inhaberinnen und Inhaber von Internetseiten ihre Verschlüsselungs-Informationen mit eindeutigen Merkmalen ausstatten lassen, die die Validation des "Schlosses" ermöglichen. In der Praxis bedeutet das, dass ein TLS-Verschlüsselungs-Datensatz mit einer digitalen Signatur versehen wird, die bestätigt, dass dieser Schlüssel für die Chiffrierung von Informationen, die an einen bestimmten Domainnamen geschickt werden sollen, vorgesehen ist.

Auch für die sichere Übertragung von Mails wird das TLS-Protokoll genutzt. Wenn du zum Beispiel E-Mails über einen Client auf deinem Smartphone oder PC abrufst, wird eine per TLS verschlüsselte Verbindung zwischen deinem Gerät und dem Server des Mailproviders hergestellt.

Wie erkenne ich eine sichere SSL-Verschlüsselung?

Aus deinem Webbrowser kennst du unter Umständen das kleine Vorhängeschloss-Symbol, das auf vielen Webseiten (zum Beispiel dieser hier) oben links neben der Web-Adresse angezeigt wird. Dieses Symbol deutet darauf hin, dass deine Verbindung zu der gerade aufgerufenen Seite verschlüsselt ist. Wenn du das Schloss anklickst, werden dir weitere Informationen dazu angezeigt. Grundsätzlich ist mit dieser Absicherung aber noch nicht sichergestellt, dass die Kommunikation auch wirklich mit der richtigen Gegenstelle stattfindet.

Hintergrund ist, dass die meisten Zertifizierungen, die von den gängigen Webbrowsern als authentisch eingestuft werden, zwar verifizieren, dass die Verbindung zwischen Nutzer bzw. Nutzerin und Webseitenanbieter korrekt verschlüsselt wird. Oft gilt dabei allerdings, dass nicht mehr als die Richtigkeit der Domainnamen überprüft wird. Wenn ein möglicher Angreifer dich nun zum Beispiel auf die Adresse meiinebank.org statt meinebank.org lockt, kann es passieren, dass ein Zertifikat zwar technisch gültig ist, aber eben für eine Internet-Domain ausgestellt wurde, die einen Tippfehler enthält. Noch perfider ist die Verwendung nicht-lateinischer Buchstaben, die unseren Schriftzeichen ähneln. meinebanк.org zum Beispiel ist von der gewünschten Adresse kaum zu unterscheiden. Lediglich das k am Ende wurde durch ein kyrillisches к ersetzt. Bei anderen Buchstaben ist die Ähnlichkeit noch größer.

Um bei wichtigen und besonders schützenswerten Verbindungen auf Nummer sicher zu gehen, gibt es daher noch einmal zusätzlich gesicherte Extended-Validation-SSL-Zertifikate. Diese sogenannten X.509-Zertifikate enthalten nicht nur Informationen über die Richtigkeit der aufgerufenen Internetadresse, sondern zeigen auch an, welche Institution sich bei der Registrierung ausgewiesen hat. Das können zum Beispiel der Name und die Adresse deiner Bank sein. Anbieter mit besonders hohem Sicherheitsanspruch setzen inzwischen zunehmend auf solche Zertifizierungen. Derartige Extended-Validation-Zertifikate sind allerdings vergleichsweise teuer, weswegen die Beantragung sich lediglich für sehr große Unternehmen oder solche mit überdurchschnittlich großem Sicherheitsbedarf lohnt.

Wie sicher sind TLS/SSL-Zertifikate?

Aus kryptografischer Sicht gilt TLS/SSL momentan als sicher. In der Regel werden SSL-Zertifikate für maximal ein bis zwei Jahre ausgestellt, danach muss zwingend eine Erneuerung stattfinden. Insofern besteht auch keine große Gefahr, dass durch technischen Fortschritt veraltete Zertifikate geknackt werden könnten. Ein gewisses Risiko bleibt allerdings. Zum Beispiel könnte dein Internetbrowser mit Schadsoftware infiziert werden und dir falsche Informationen zur Zertifikatssicherheit anzeigen. Der beste Schutz dagegen besteht darin, den eigenen Webbrowser stets auf dem aktuellsten Stand zu halten. Aktuell gängige Browser kümmern sich glücklicherweise selbst um Updates und schützen dich so vor Angriffen. Außerdem gilt, wie oben beschrieben, dass es immer wieder Versuche gibt, eine einer bekannten Adresse ähnelnde Domain zertifizieren zu lassen. Dagegen kann zum Beispiel helfen, wichtige Internetadressen stets von Hand einzutippen oder aus den eigenen Lesezeichen aufzurufen, statt Links aus E-Mails oder von anderen Seiten anzuklicken.

Eine weitere Möglichkeit, die SSL-Verschlüsselung zu kompromittieren besteht darin, die Zertifizierungsstellen anzugreifen. Im Jahr 2011 zum Beispiel wurde die niederländische Zertifizierungsstelle DigiNotar Opfer eines solchen Angriffs. Ein Unbefugter zertifizierte sich selbst als Inhaber verschiedener großer Internetangebote, unter anderem google.com. Diese gefälschten Zertifizierungen wurden von der damaligen Regierung des Iran genutzt, um die eigenen Bürgerinnen und Bürger auszuspionieren. Auch wenn dies der einzige bekannte Fall dieser Art ist, zeigt das Beispiel, dass es absolute Sicherheit selbst mit SSL-Zertifikaten nicht gibt. Vor einigen Jahren machte darüber hinaus ein Softwarefehler in der von vielen Websitebetreibern genutzten TLS-Variante OpenSSL Schlagzeilen. Der "Heartbleed" genannte Bug sorgte dafür, dass sicher geglaubte Kommunikation abhörbar wurde.

Für wen ist ein SSL-Zertifikat sinnvoll?

Die kurze Antwort lautet: Inzwischen sind SSL-Zertifikate zumindest in der Basis-Variante für alle Betreiberinnen und Betreiber einer eigenen Website sinnvoll. Insbesondere wer seine Seite gewerblich betreibt, sollte dafür aber auf jeden Fall einen Anbieter wählen, der die schnelle und einfache Einrichtung von SSL-Zertifikaten für das eigene Webangebot ermöglicht. Denn nicht nur die Website selbst, sondern vor allem auch Formulareingaben der Nutzerinnen und Nutzer werden auf diese Weise verschlüsselt. Ob über ein Kontaktformular oder einen eigenen Webshop, Deine Kundinnen und Kunden vertrauen dir mitunter wertvolle, private Informationen wie Kontonummern oder Adressen an. Indem du die Datenübertragung verschlüsselst, wirst du dem dir entgegengebrachten Vertrauen gerecht.

Vor wenigen Jahren kosteten TLS/SSL-Zertifikate auch für kleine Websitebetreiber noch viel Geld. Inzwischen ist es aber möglich, Basis-Zertifikate wesentlich günstiger anzubieten. Neben Datenschutz- und Sicherheitsaspekten spielt mittlerweile ein weiteres Argument für die Nutzung verschlüsselter Verbindungen eine wichtige Rolle: Suchmaschinenoptimierung. Google und andere Suchmaschinenanbieter haben erkannt, dass sicher übertragene Websites die Zukunft sind. Aus diesem Grund werden per HTTPS ausgelieferte Seiten in den Ergebnislisten wesentlich weiter oben angezeigt, als inhaltlich vergleichbare aber unverschlüsselte Angebote. Bei unseren Website-Paketen und Landingpage-Angeboten gehört ein gültiges und regelmäßig aktualisiertes Zertifikat daher selbstverständlich zur Grundausstattung jeder von uns erstellten Webseite.

Ab wann ist SSL-Verschlüsselung notwendig?

Wie schon beschrieben, gibt es inzwischen keine guten Gründe mehr, auf SSL-Verschlüsselung zu verzichten – auch bei kleinen Internetangeboten nicht. Dringend geboten ist die Absicherung aber spätestens dann, wenn du über deine Seite persönliche Daten deiner Kundschaft verarbeitest. Zum Beispiel über ein Kontaktformular, in das deine Kundinnen und Kunden Adressen, Kontonummern und weitere schützenswerte Informationen eintragen. Spätestens seit im Mai 2018 die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union in Kraft getreten ist, bist du als Webseitenbetreiberin oder -betreiber sogar verpflichtet, Formulareingaben verschlüsselt zu übertragen. Hältst du dich nicht an diese Vorgabe, drohen dir empfindliche Strafzahlungen. Wenn du dir nicht sicher bist, ob deine Seiten verschlüsselt übertragen werden, solltest du spätestens jetzt den Kontakt zu deinem Hosting Provider suchen und das klären. Wenn du deine Webseite bei uns erstellen lässt, brauchst du nichts weiter zu unternehmen. Wir übertragen deine Websites aus Prinzip ausschließlich verschlüsselt.