SSL-Zertifikate gibt schon seit dem Jahr 1994. Man findet sie auf fast jeder Webseite, jeder benötigt sie und sie sind ein integraler Bestandteil eines sicheren Internets.

Aber jetzt mal nur zwischen dir und mir: weißt du auch wirklich, was SSL-Zertifikate sind? Ganz sicher? Oder wie sie funktionieren? Oder warum du diese Zertifikate unbedingt als Website-Betreiber:in brauchst? Nein?

Keine Angst, ich verpfeife niemanden.

Im Gegenteil! Ich freue mich, wenn wir zusammen diese vielleicht etwas peinliche Wissenslücke schließen können. Dabei ist es egal, ob du Neuling oder geschulter Webmaster bist.

In diesem Leitfaden erfährst du von mir alles Wissenswerte rund um SSL, wo du die Zertifikate herbekommst, welche ich dir wofür empfehle und viele weitere nützliche Tipps und Tricks! Also keine falsche Scheu, steigen wir durch!

Definition: Was ist ein SSL-Zertifikat?

Beginnen wir mit den Basics. Was sind SSL-Zertifikate überhaupt?

Wenn deine Website auch das Prädikat “sichere Verbindung” haben soll, brauchst du ein SSL-Zertifikat

Screenshot: trusted.de

Quelle: google.com

Ein SSL- bzw. Secure Sockets Layer-Zertifikat ist eine relativ kleine Datei mit großer Wirkung: Sie sichert per kryptografischer Verschlüsselung die Verbindung zwischen einem Webserver und einem Client. Das heißt: Sie macht die Verbindung “sicher”. Was das genau heißt, schauen wir uns noch an.

Info: Gelegentlich wird SSL auch als “Secure Socket Layer” in der Einzahl geschrieben. Der Plural ist aber die korrekte Form.

In vielen Fällen ist dieser Client dein Browser.

Was SSL-Zertifikate sicher macht: Sie sind an bestimmte Inhaberdetails gebunden. So gehört ein Zertifikat zum Beispiel immer zu einem Domainnamen, Servernamen oder Hostnamen.

In anderen Fällen ist ein SSL-Zertifikat an eine Organisation und ihren Standort geknüpft. Der neueste SSL bzw. TLS-Standard ist die Version TLS 1.3 aus dem Jahr 2018.

Info: Genaugenommen nutzen wir inzwischen ausschließlich das Protokoll TLS (Transport Layer Security). Hierbei handelt es sich quasi um SSL in der Version 3.1, allerdings war der ursprüngliche SSL-Entwickler Netscape an der Weiterentwicklung TLS nicht mehr beteiligt. Um diesen Umstand anzuzeigen, benannte man das Protokoll um. Die Namen SSL und TLS werden wegen der gemeinsamen Herkunft oft synonym verwendet.

Wozu brauche ich ein SSL-Zertifikat?

Ein SSL-Zertifikat ist dazu da, die Verbindung zwischen einem Client (wie deinem Browser) und dem Server bzw. deiner besuchten Webseite zu verschlüsseln. So können deine Daten nicht von Dritten ausgelesen werden.

Der Einsatz eines SSL-Zertifikats hat unterschiedliche Vorteile für dich als User und als Betreiber:in deiner eigenen Webseite. Die schauen wir uns jetzt näher an:

Achtung: Die Verschlüsselung gilt nur für die Übertragung! Auf dem Endgerät liegt die Information unverschlüsselt. Das heißt, ein SSL-Zertifikat bietet keinen vollständigen Schutz vor Bedrohungen.

Viva la Datenschutz – Folge den Richtlinien der DSGVO

Der erste Vorteil ist offensichtlich: Die Kommunikation zwischen Usern und deiner Webseite ist so besser geschützt.

Und das solltest du nicht nur aus Nettigkeit tun, du musst sogar!

Der erste Gesetzesentwurf, der das vorschreibt, ist das Telemediengesetz, genauer gesagt § 13 Abs. 7. Noch einmal findest du einen ähnlichen Absatz in der DSGVO (Art. 32 Abs. 1). Beide Textpassagen schreiben vor, dass bei der Übermittlung personenbezogener Daten technische Maßnahmen ergriffen werden müssen, um diese Daten angemessen zu schützen.

Unter Berücksichtigung des Stands der Technik […] treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten […]

Exakt dafür ist ein SSL-Zertifikat gedacht und damit ein Must-have für deine Webseite.

Versaue nicht den (königlichen) Ruf! Mache deine Website vertrauenswürdig

Möchtest du auf einer Webseite surfen, auf der jede:r nur mit dem Minimum an HTML-Skills sensible Daten auslesen kann? Ich auch nicht! Hier zeigt sich: Das Vertrauen in eine Website ist mindestens so wichtig wie ihre Sicherheit.

Darum ist es so wichtig, deine Webseite mit einem SSL-Zertifikat auszustatten. Damit schaffst du Vertrauen und gibst deiner Webseite Seriosität. User können nämlich per Klick auf das kleine Schloss in der Adresszeile sehen, ob du ein SSL-Zertifikat verwendest.

“Aber das macht doch keiner!”, wirst du jetzt sagen.

Tja, von Wegen! Bereits im Jahr 2016 gaben in einer deutschlandweiten Onlineumfrage 42 % der Befragten an, nur dann in einem Online-Shop einzukaufen, wenn dieser mit einem SSL-Zertifikat ausgestattet ist.

Ganze 42 % der Befragten schauten schon 2016 in Deutschland auf das SSL-Zertifikat

Screenshot: trusted.de

Quelle: de.statista.com

Wenn du also deinen Shop nicht absicherst, kann das fiese Konsequenzen für dich haben!

Beispielsweise, indem Kund:innen wegen einer Browserwarnung erst gar nicht bei dir kaufen. Oder wenn deine User gehackt werden und du einen Rufschaden erleidest. Der wirkt sich negativ auf deinen Traffic und im schlimmsten Fall auf deine Verkäufe aus.

Ein fehlendes SSL-Zertifikat kann dich also bares Geld kosten.

Wenn deine User eine solche Warnung sehen, werden sie kaum auf deiner Page surfen wollen

Screenshot: trusted.de

Quelle: google.com

Safe is sexy – Verbessere per SSL dein Google-Ranking

Google mag sichere Seiten. Das geht aus einem Statement aus dem Jahr 2014 hervor:

Aus diesen Gründen haben wir in den letzten Monaten Tests durchgeführt, bei denen in unseren Ranking-Algorithmen berücksichtigt wurde, ob Websites sichere, verschlüsselte Verbindungen verwenden. Da die Ergebnisse sehr positiv waren, haben wir HTTPS als Ranking-Signal hinzugefügt.

Zur Erklärung: Eine Websiteadresse beginnt gewöhnlich mit der Buchstabenkombination “http”. Ist ein SSL-Zertifikat installiert, wird das in der Adresszeile mit dem Zusatz “https” angezeigt.

Fazit aus der Google-Aussage: Sichere Seiten ranken höher. Du bekommst so für deine gesicherte Page mehr Aufmerksamkeit, aka. Traffic, und deine User eine sichere Website-Verbindung. Win-win!

SSL ist also nicht nur ein Sicherheitsstandard, sondern auch ein Faktor für SEO, also die Suchmaschinenoptimierung. Dazu ein kurzes Statement aus der Welt der Webmaster und des SEO:

Tobias Lohrey

SSL ist ohne Frage ein Rankingfaktor; direkt wie indirekt. Das hat Google schon 2014 offiziell bestätigt. Die direkten Auswirkungen auf die Platzierung sind zwar minimal; relevant sind aber die indirekten Faktoren und Usersignale, wie Vertrauen in die Page (und an das Internet an sich), Verweildauer und Ladegeschwindigkeit. Denn nicht zuletzt ist “https” auch schneller, als “http”. Die Vorteile von SSL gehen aber weit über SEO hinaus. So oder so ist es mittlerweile einfach ein Standard für moderne Websites.

Kein SSL? Keine PWA! - Neue Webtechnologien nutzen

Das Internet hat sich geeinigt: SSL-verschlüsselte Websites sollten Standard sein. Das zeigt sich beispielsweise in Chrome, wo immer mehr SSL-gesicherte HTTPS-Seiten aufgerufen werden.

Tendenz: 100 %.

Daher ist es nicht verwunderlich, dass neue Technologien mit HTTPS im Rücken gedacht werden. Das heißt aber auch: Hat deine Seite keinen SSL-Schutz, darfst bzw. kannst du schlicht coole neue Spielsachen nicht ausprobieren.

Dazu gehören etwa Progressive Web-Apps (PWA), Kombinationen aus Webseite und App, über die ich in meinem Ratgeber zu mobilen Websites schon mal gesprochen habe.

Aber warum sind dann nicht schon alle Websites SSL-gesichert? Das kann zum Beispiel politische Gründe haben, wenn in bestimmten Ländern oder Regionen HTTPS-Traffic behindert oder komplett blockiert wird. Teilweise scheitern Unternehmen aber auch schlicht an der technischen Umsetzung zur Umstellung auf SSL bzw. HTTPS. Damit dir das nicht passiert, lies einfach weiter!

Wo bekomme ich ein SSL-Zertifikat?

Zuerst brauchst du mal eine Zertifizierungsstelle, die diese Zertifikate ausgibt.

Meist arbeiten Zertifikate im Hintergrund, weshalb du vielleicht noch keine Zertifizierungsstellen kennst. Das ist aber kein Problem!

Jeder Browser kommt mit einer vorinstallierten Liste vertrauenswürdiger (Stamm-) Zertifizierungsstellen. Diese werden oft auch einfach kurz CAs (Certificate Authority) genannt.

Du kannst diese Liste auch abrufen. Bei Chrome funktioniert das wie folgt:

• Öffne mit den drei Punkten oben rechts das Menü
• Wähle “Einstellungen” und dann “Datenschutz und Sicherheit”
• Klicke dort auf “Sicherheit”
• Scrolle zum Punkt “SSL-Zertifikate verwalten”
• In den Reitern findest du den Punkt “Vertrauenswürdige Stammzertifizierungsstellen”

Du kannst sichere SSL-Zertifizierungsstellen in deinem Browser einsehen

Screenshot: trusted.de

Quelle: google.com

Weil das aber etwas unübersichtlich werden kann, habe ich dir hier ein paar der bekanntesten SSL-Zertifizierungsstellen aufgelistet.

Vertrauenswürdige Zertifizierungsstellen im Überblick

Hier findest du nicht alle, aber definitiv ein paar der bekanntesten CAs für dein nächstes Webprojekt:

Let’s Encrypt

Let’s Encrypt ist in unseren Breiten vor allem für seine kostenlosen Zertifikate bekannt. Der Anbieter ist Non-Profit unterwegs und finanziert sich über Spendengelder. Hier gibt es Wildcard- sowie SAN-Zertifikate.

GlobalSign

GlobalSign by GMO ist ein europäischer Anbieter für Internetsicherheit. Dazu zählen neben SSL-Zertifikaten auch Document-Signing oder die Verschlüsselung S/MIME. Zertifikate gibt es im Preisrahmen zwischen 188 € und 468 € im Jahr.

digicert

digicert ist SSL-Anbieter aus den USA. Das Unternehmen überzeugt vor allem mit seiner flotten Ausstellung von höherwertigen OV- und EV-Zertifikaten – teilweise sogar innerhalb von 3 Tagen.

d-trust

d-trust ist ein deutscher SSL-Anbieter und stellt konforme Zertifikate nach EU-Datenschutzverordnung aus. Wer also gern ein SSL-Zertifikat aus “der Heimat” nutzen will, ist hier gut bedient.

Swiss Sign

Swiss Sign ist ebenfalls aus unseren Breiten; genauer gesagt aus der Schweiz. Auch dieses SSL-Zertifikat ist DSGVO-konform und kann auf Wunsch auch flott via Express-Ausstellung beantragt werden. Ideal, wenn es schnell gehen muss.

Info: Weitere bekannte Anbieter sind Certum, AlphaSSL, thawte, Sectigo, RapidSSL, positiveSSL oder GeoTrust.

Oft musst du dein Zertifikat aber gar nicht selbst buchen, denn zum Beispiel viele Hosting-Anbieter sind mittlerweile dazu übergegangen, SSL-Zertifikate zum Hosting mit anzubieten. In dem Fall musst du dich um nichts kümmern. Zum Beispiel auch nicht darum, das Zertifikat regelmäßig zu erneuern.

Ein paar dieser Hoster stelle ich dir hier kurz vor. Vielleicht ist dein Anbieter ja mit dabei – oder du denkst aktuell über einen Wechsel nach? Ansonsten kannst du hier auch einfach weiterlesen.

Die besten Webhoster mit eingebautem SSL-Zertifikat

Gerade wenn du zum ersten Mal ein Webprojekt startest, kann es anstrengend sein, SSL-Zertifikate einzeln zu bestellen.

Hier findest du ein paar Vorschläge von Hostern, die das SSL-Zertifikat gleich mitbringen.

IONOS Webhosting

Zum Anbieter

Das IONOS Webhosting bietet pro Tarif zwischen einem und unbegrenzt viele Wildcard-Zertifikate von DigiCert an. So schützt du nicht nur eine einzelne Domain, sondern auch alle untergeordnetes Subdomains deines Webprojekts.

dogado Webhosting

Zum Anbieter

Auch dogado gibt dir ein Zertifikat pro Domain an die Hand. Das sind, wenn du die Inklusiv-Domains nutzt, bis zu 10. Wenn deine Inklusivdomains von dogado verwaltete werden, kümmert sich der Anbieter um die Zertifikatsverlängerung.

STRATO Webhosting

Zum Anbieter

STRATO ist ein weiterer Webhoster, der dir inkludierte DigiCert-Zertifikate mitliefert. Du bekommst hier pro Inklusivdomain ein SSL-Zertifikat zugeteilt. Je nach Tarif sind das 1 bis 10.

Das sind aber nur ein paar Vorschläge. Mehr Kandidaten mit inkludierten SSL-Zertifikaten findest du in meinem großen Webhosting-Test.

Welche Arten von SSL-Zertifikaten gibt es und welchen Typ brauche ich?

Kommen wir mal zu den leicht fortgeschrittenen Themen. Wer nämlich aufmerksam die Beschreibungen von SSL-Zertifikaten liest, wird auf einige spezielle Begriffe stoßen wie “DV” oder “Wildcard”. Was hat es damit auf sich?

Tatsächlich ist SSL-Zertifikat nicht gleich SSL-Zertifikat. Es gibt unterschiedliche Typen, mit verschiedenen Namen und Bezeichnungen.

Welche Zertifikate es gibt und wie du sie am besten einsetzt, erkläre ich dir hier:

SSL-Zertifikate kommen in verschiedenen Sicherheitsstufen

Generell gibt es zwei Arten, SSL-Zertifikate zu unterscheiden.

Zuerst musst du dich für eine Sicherheitsstufe entscheiden. Diese hat auch Einfluss darauf, wie lange der Prozess bis zur Zertifikatserstellung dauert und wie viele Angaben du dafür machen musst.

In Sachen Sicherheit unterscheiden wir drei Typen:

• Domain Validation (DV)
• Organisation Validation (OV)
• Extended Validation (EV)

Domain Validation (DV)

Die Domain-validierten Zertifikate sind am einfachsten zu bekommen. Sie sind an deine Domain gebunden und bescheinigen lediglich, dass es deine Domain gibt und sie auf einen existierenden Webserver verweist.

Das Zertifikat beinhaltet aber keine Informationen über die zugehörige Website oder die Identität des Domain-Inhabers. Daher ist das Zertifikat nur ein kleiner Vertrauenstoken.

Empfehlung: Dieser kleine Token kann aber für kleine Hobbyprojekte wie dein Portfolio oder deinen Blog bereits ausreichen. Andere Anwendungsbereiche für DV sind ein eigenes Intranet oder ein Mailserver.

Organisation Validation (OV)

Während deine DV nur an deine Domain gebunden ist, gibt ein OV-Zertifikat zusätzlich den Inhaber des Zertifikats mit an. Du weißt als Besucher:in der Webseite also nicht nur, ob die Domain und die Website existieren, sondern auch, zu wem sie gehören.

Die Identität des Inhabers oder der Inhaberin wird dabei von der Zertifizierungsstelle geprüft. Wenn du ein solches Zertifikat willst, musst du deine Kontakt- und teilweise auch deine Bankdaten angeben.

Empfehlung: Etwas mehr Aufwand, allerdings genießt ein solches Zertifikat auch mehr Vertrauen. Du solltest zu diesem Zertifikat greifen, wenn du eine größere Unternehmensseite, ein Forum, einen Online-Shop oder Projekte betreibst, die viele personenbezogene Daten verarbeiten.

Extended Validation (EV)

Extended Validation ist quasi “SSL Endgame”. Hier wird aber nicht nur deine Identität als Inhaber:in der Domain geprüft; du musst einen 16 Punkte-Plan für die Überprüfung in folgenden Bereichen durchlaufen:

• Domain
• Inhaber:in
• Identität
• Rechtsstatus
• Postanschrift

Empfehlung: Dieses Zertifikat ist dann wichtig und empfehlenswert, wenn du mit besonders sensiblen Datensätzen zu tun hast. Das sind beispielsweise große Markenkonzerne, Regierungsseiten, Bankgeschäfte oder Gesundheitsdaten aus dem medizinischen Bereich.

SSL-Zertifikate decken unterschiedlich viele Domains ab

Die zweite Unterscheidung neben dem Sicherheitslevel besteht darin, was dein SSL-Zertifikat mit seinem Umfang schützt. Achte hierbei auf verschiedene Typen:

Wildcard-SSL

Ein normales SSL-Zertifikat sichert gewöhnlich nur einen Domain-Namen ab. Also etwa “MeineSeite.de” und alle Unterseiten wie “MeineSeite.de/Kontakt” und Co.

Bei einem Wildcard-Zertifikat werden Platzhalter verwendet. Auf diese Weise kann nicht nur eine Domain geschützt werden, sondern auch die Sub-Domains. Oft gibt es dabei für die Subdomains kein Limit.

Beispiel: Ein solches Zertifikat schützt dann nicht nur “MeineSeite.de”, sondern auch die Page “Hilfe.MeineSeite.de” oder “Shop.MeineSeite.de”.

Hier gibt es zwei gewaltige Vorteile: Du musst nicht für jede Subdomain ein eigenes Zertifikat verwenden und du hast die Möglichkeit, nachträglich Subdomains mit dem gleichen Zertifikat zu sichern.

SAN-SSL/Multidomain-SSL

SAN (kurz für “Subject Alternative Names”, auch Multidomain-Zertifikat) ist ähnlich wie ein Wildcard-Zertifikat, sichert aber mehrere Hauptdomains ab. So sicherst du zum Beispiel nicht nur “MeineSeite.de”, sondern auch “MeinShop.de”.

Root-Zertifikat

Ein solches Zertifikat wirst du selber oft nicht brauchen. Aber der Vollständigkeit halber, hier ein Überblick:

Es handelt sich hier um eine Art Bibliothek, in der zulässige Zertifikate aufgelistet sind. Möchte sich ein User per SSL mit deiner Website verbinden, kann im Root-Verzeichnis nachgesehen werden, ob der anfragende User ein gültiges Zertifikat hat.

Du kannst dir das Vorstellen wie eine Gästeliste. Steht das SSL-Zertifikat drauf, wird eine SSL-Verbindung hergestellt.

Jede Zertifizierungsstelle hat solche Root-Zertifikate, um SSL-Anfragen als (un)gültig zu bewerten.

Was kostet das SSL-Zertifikat?

Je nachdem, für welches Zertifikat du dich entscheidest, variieren die Kosten teils stark.

Während es DVs schon kostenlos z. B. via Let’s Encrypt zu haben gibt, können OVs und EVs schon mehrere Hundert Euro kosten. Hier ein Überblick:

Wenn du dir unsicher bist, welches Zertifikat für die Sicherheit deiner Page am meisten Sinn ergibt, dann setze dich gerne mit einem Webmaster-Profi und/oder Datenschutz-Expert:innen in Verbindung.

Die können dir nämlich im Gegensatz zu mir mit meinem sehr generellen Vorschlag genau auf deinen Use Case angepasste Auskünfte über notwendige Zertifikate geben.

Kostenlose SSL-Zertifikate

Du siehst also: SSL-Zertifikate kosten in den meisten Fällen Geld.

Aber dann stellt sich die Frage: Geht das nicht auch kostenlos? Klar!

Kostenlose SSL-Zertifikate sind eine tolle Sache und ermöglichen dir auch bei kleinerem Budget die Datenübertragung zu deiner Seite abzusichern. Dabei gibt es aber zwei wichtige Dinge zu beachten.

1. Genießen kostenlose Zertifikate oft weniger Vertrauen, weil es sich dabei oft um einfache, nur domaingebundene Zertifikate handelt.
2. Auch Personen mit weniger netten Absichten können kostenlose Zertifikate für Betrugsversuche einsetzen. Mehr dazu hier.

Setze also am besten auf kostenlose Zertifikate, wenn es “nicht um viel geht”. Also zum Beispiel, wenn du eine Portfolio-Seite betreibst, über die keine oder kaum personenbezogenen Daten verarbeitet werden.

Anbieter wie Let’s Encrypt haben kostenlose SSL-Zertifikate im Angebot

Screenshot: trusted.de

Quelle: google.com

Wie funktioniert ein SSL-Zertifikat eigentlich?

Kleines Heads-up: Wie das ganze auf Code-Ebene abläuft, ist ein wenig komplex. Daher werde ich versuchen, mich hier so einfach wie möglich auszudrücken. Und wenn es dich nicht sonderlich interessiert, wie das Ganze technisch abläuft, kein Thema. Dann geht’s hier für dich weiter!

Ein SSL-Zertifikat nutzt im Kern zwei kryptografische Schlüssel. Die bestehen jeweils aus einer langen, zufälligen Zahlenkombination.

Bei den beiden Kombinationen handelt es sich einmal um den sogenannten privaten Schlüssel (private key) und den öffentlichen Schlüssel (public key).

Um eine Nachricht verschlüsselt zu übermitteln, werden die Informationen mit dem öffentlichen Schlüssel verschlüsselt. Das ist quasi so, als würdest du eine Postkarte in einen blickdichten Umschlag stecken.

Die Informationen werden nur dann wieder lesbar, wenn sie mit dem privaten Schlüssel decodiert werden. Also von der Person, die den passenden, individuellen Brieföffner hat.

So funktioniert die asymmetrische Verschlüsselung von SSL

Quelle: trusted.de

Werden SSL-verschlüsselte Informationspakete von Hacker:innen abgefangen, sie den entsprechenden Schlüssel aber nicht besitzen, haben sie nur auf einem Haufen nicht entzifferbarer Daten in den Händen.

Info: Die kryptografische Verschlüsselung läuft während des Surfens auf einer Webseite in beide Richtungen. Beide Seiten (z. B. Browser und Server) besitzen jeweils einen öffentlichen und einen privaten Schlüssel.

Ja, aber Moment. Wo hat denn mein Browser den auf einmal den public key her?

Das passiert ganz automatisch.

Wenn dein Browser mit einer bestimmten Webseite kommuniziert, wird eine Anfrage für ein gültiges SSL-Zertifikat ausgestellt. Ist dieses vorhanden, antwortet die Website deinem Browser mit dem Zertifikat und dem public key, der für eine verschlüsselte Verbindung notwendig ist.

Dein Browser prüft im Anschluss seine integrierte Liste an vertrauenswürdigen Aussteller-Organisationen. Ist der Aussteller des Zertifikats in der Liste vorhanden, schickt der Browser den Key dorthin, um die Identität des Zertifikat-Inhabers zu bestätigen.

Info: Eine Ausnahme sind die selbstsignierten SSL-Zertifikate. Hier baust du dir mit dem nötigen Know-how dein eigenes Schlüsselpaar. Da aber keine offizielle Zertifizierungsstelle einbezogen wird, erachten viele Browser Seiten mit selbst signierten Zertifikaten für nicht sicher.

Der mitgeschickte public key wird von der CA mit der Identität abgeglichen. Wenn das passt, signalisiert die CA deinem Browser, dass alles passt und eine sichere SSL-Verbindung möglich ist.

Aber was, wenn Hacker:innen die Nachricht doch in die Finger kriegen und irgendwie verändern?

Hier hilft ein MAC (Message Authentication Code), der eine Nachricht als unverändert anzeigt. Um mal bei der Metapher zu bleiben: das funktioniert ähnlich wie ein Wachssiegel auf einem Brief. Verändert jemand etwas, kann das wegen des MAC-Codes identifiziert werden.

Wie erkenne ich ein aktives SSL-Zertifikat?

Zertifikat gut und schön. Aber woran erkenne ich denn, ob ein SSL-Zertifikat aktiv ist? Das gucken wir uns nun aus der Perspektive der User und der Websitebetreiber:innen an:

Als User

Wenn du als User auf eine Webseite navigierst, gibt es mehrere Möglichkeiten, ein aktives Zertifikat zu erkennen.

Ist ein SSL-Zertifikat aktiv, wird zunächst mal ein “s” im Domainpart “https” (Hypertext Transfer Protocol Secure) angezeigt.

In vielen Browsern wie beispielsweise Firefox sind SSL-zertifizierte Websites in der Adressleiste zusätzlich mit einem Sicherheitsschloss gekennzeichnet.

Aber Achtung, das heißt nur, dass es ein SSL-Zertifikat gibt. Manche shady Gestalten im Internet nutzen dieses Vertrauen für sich aus, indem Sie Websites mit SSL-Schutz imitieren. Mehr dazu findest du hier.

Wenn du wissen willst, was für ein Zertifikat verwendet wird und vor allem von wem es ausgestellt wurde, dann braucht es ein paar zusätzliche Klicks.

Ein Beispiel für Chrome:

1. Klicke auf die Schieberegler in der Adresszeile
2. Wähle den Punkt “Verbindung ist sicher”
3. Im Anschluss klickst du auf “Zertifikat ist gültig”

In dieser Übersicht siehst du nun die allgemeinen Zertifikatsdetails wie Inhaber:in, Gültigkeitsdauer und Aussteller des Zertifikats.

Mit wenigen Klicks bekommst du mehr über das SSL-Zertifikat einer Website heraus

Screenshot: trusted.de

Quelle: google.com

Als Website-Betreiber:in

Als Webmaster musst du deine SSL-Zertifikate immer im Blick haben. Läuft dein Zertifikat aus, kann es nämlich passieren, dass deine Webseite nicht mehr erreichbar ist. Und das wollen wir ja schließlich nicht.

Du kannst also ganz simpel starten und dein Zertifikat wie ein User prüfen. Öffne deine Seite über den Browser und rufe dein Zertifikat auf. Hier siehst du beispielsweise schon mal, wie lange dein Zertifikat gültig ist.

Das kann allerdings dauern, wenn du nicht nur eine Domain betreust.

Für diesen Fall gibt es implementierte Tools, wie z. B. den Certificate Manager für Windows-Systeme. Eine umfassende Anleitung zur Benutzung findest du im Microsoft Learning Center.

Windows kommt mit integrierten Tools zur Zertifikats-Überprüfung

Screenshot: trusted.de

Quelle: learn.microsoft.com

Abseits davon gibt es auch externe Tools wie SSL-Scanner und SSL-Security-Tests. Diese checken für dich nicht nur, ob Zertifikate vorhanden sind, sondern auch, ob sie sicher sind.

Ein möglicher Anbieter ist zum Beispiel IONOS mit seinem kostenlosen SSL-Check.

Tipp: Wenn du dich im Umgang mit SSL-Zertifikaten unsicher fühlst, dann mache dir Dienste wie dem von dogado zunutze. Hier updatet der Hosting-Anbieter die SSL-Zertifikate für dich automatisch.

Wie oft muss ein SSL-Zertifikat erneuert werden?

Die meisten SSL-Zertifikate sind meistens für etwa ein Jahr gültig und sollten ca. 30 Tage vor Ablauf erneuert werden. Allerdings gibt es auch Zertifikate mit kürzerer oder längerer Gültigkeit, z. B. mit 90 Tagen Laufzeit bis hin zu mehreren Jahren.

Der Vorteil eines dauerhaft gültigen Zertifikats: Du musst dich nicht dauernd um die Erneuerung kümmern.

Der Nachteil: In der Zwischenzeit können neue Sicherheitsstandards für SSL/TLS- Versionen erscheinen. Die sind unter Umständen dann sicherer als das Zertifikat, das du gerade verwendest.

Wie erneuere ich mein Zertifikat?

Um ein Zertifikat zu erneuern, musst du ein aktuelles Zertifikat installieren. Wie komplex das ausfällt, hängt von deinem Zertifikat, dem Hoster und dem Server ab.

In den meisten Fällen gibt es aber bei den entsprechenden Hosting-Anbietern eigene Anleitungen, die dir die Installation eines neuen Zertifikats erklären. So beispielsweise bei IONOS, wo dir die Installation von kostenlosen Zertifikaten von Let’s Encrypt erklärt wird.

In diesem Fall ist die Installation sehr einfach. Du navigierst zum entsprechenden Punkt “Let’s Encrypt” im Backend deines Webhostings, gibst deine E-Mail-Adresse ein und wählst aus, welche Elemente (Domain und/oder Webmail) mit dem Zertifikat abgedeckt sein sollen.

Let’s Encrypt erneuert dein kostenloses Zertifikat automatisch.

Vor welchen Bedrohungen schützt ein SSL-Zertifikat?

Ein gewisser Schutz ist immer noch besser als gar keiner. Trotzdem will ich ehrlich zu dir sein: SSL-Zertifikate mindern das Risiko eines erfolgreichen Angriffs auf deine Website und deine Daten; zu 100 % verhindern können sie es allerdings nicht.

Mögliche Angriffsmethoden, vor denen SSL Schutz bietet, sind Phishing oder Man-in-the-middle (MITM). Dabei werden Informationen bei der Übertragung zwischen Client und Server abgefangen und ausgelesen oder sogar verändert.

Phishing

Stell dir zum Beispiel vor, du möchtest bei einem Online-Shop einkaufen und jemand hat deine liebste Shopping-Seite überzeugend nachgebaut. Im Hintergrund sitzen aber nicht die Betreiber:innen, sondern jemand, der an deinen Zahlungsdaten interessiert ist.

Eine solche Betrugsmasche gehört in die Kategorie “Phishing” und fällt in die gleiche Sparte wie der bekannte “Prinz aus Nigeria” E-Mail-Scam.

SSL-Zertifikate können bei Fake-Webseiten helfen. Zum einen, indem sie schlecht gemachte Seiten blockieren, wenn diese gar kein SSL-Zertifikat haben.

Bei Fake-Seiten mit Zertifikat wird es kniffliger. Ist ein SSL-Zertifikat vorhanden, wird die Page eben nicht automatisch von deinem Browser geblockt. Achte hier auf höherwertige Zertifikate (OV und EV) und prüfe die Identität des Inhabers auf dem Zertifikat. Wie das geht, habe ich hier erklärt.

Man in the Middle

Bei Man in the Middle handelt es sich um verschiedene Techniken, die unter diesem Namen zusammengefasst werden.

Das Prinzip ist allerdings immer ähnlich: Angreifer:innen verschaffen sich Zugang zur Verbindung (über den Browser, den Server, etc.) und gaukeln allen anderen Parteien vor, der korrekte Verbindungspartner zu sein.

So erfahren sie Details zu Passwörtern und anderen empfindlichen Daten.

Beispiel: 2015 nutzte eine belgische Hackergruppe die MITM-Methode, um sich in die Kommunikation europäischer Unternehmen zu klinken und Kund:innen Zahlungsaufforderungen zu senden. Nachdem die Aufforderungen von vertrauenswürdigen Quellen gekommen waren, leisteten viele User die Zahlungen. Die Beute der Betrüger:innen: ca. 6 Millionen Euro.

SSL-Zertifikate können viele Betrugsversuche verhindern, indem sie sämtliche vertrauliche Kommunikation verschlüsseln. So werden MITM-Attacken effektiv ausgehebelt.

Selbst dann, wenn Hacker:innen beispielsweise versuchen, ein alternatives Zertifikat zu verwenden. Stimmt es nicht mit den Informationen der Zertifizierungsstelle überein, wirst du vom Browser vor der Verbindung gewarnt.

… und vor welchen nicht?

Wie bereits erwähnt, ist ein SSL-Zertifikat nur ein Schutz für die Übertragung der Daten. Hat sich also jemand auf deiner oder der Anbieter-Seite der Verbindung Zugang verschafft, können deine Daten trotz SSL geklaut werden.

Eine weitere Methode für Hacker:innen doch noch an deine Daten zu kommen, ist ein etwas ausgeklügeltes Phishing; zum Beispiel das Aufsetzen eines Servers mit einer gefälschten Webseite.

Diese statten sie mit einem SSL-Zertifikat (oft kostenlos, z. B. von Let’s Encrypt) aus. So ist die Datenübertragung zwar geschützt, deine Daten landen aber auf einer Page, die sich nur als korrekte Webseite ausgibt.

Auch SSL-Zertifikate haben Sicherheitslücken

Obwohl es dich vor viel schützt, ist ein SSL-Zertifikat leider nicht unbesiegbar. Es gibt hier und da einige Schwachstellen, die mal mehr, mal weniger bekannt sind.

Ich habe hier für dich ein paar der bekanntesten Lücken der SSL-Zertifikate aufgelistet:

Heartbleed

Dieses Problem kam 2014 zum Vorschein und betraf Millionen von Websites, die OpenSSL in den Versionen 1.0.1 bis 1.0.1f verwendeten.

Bei OpenSSL tauschen Client und Server kurze Anfragen aus, um zu checken, ob der jeweils andere “noch da” ist. Dabei teilt der Anfragende eine Nachricht mit, die der Angefragte als Antwort wiederholt. Quasi ein digitales Echo. Dieser Prozess nennt sich “Heartbeat”.

Problem: Angreifer:innen konnten diese Anfrage unbemerkt manipulieren und größere Datenpakete als “Bist du noch da?”-Antwort abfragen. Diese Antworten kommen direkt aus dem Arbeitsspeicher – ein Ort, an dem wichtige Zugangsdaten liegen können.

POODLE, FREAK und LOGJAM

Diese Formen des Angriffs fallen alle in eine ähnliche Kategorie: Downgrade-Attacken.

Sie zwingen auf unterschiedliche Arten Browser und Clients dazu, ältere Versionen von Software-Versionen zu verwenden, die für Profis einfacher zu knacken sind.

Im Fall von POODLE nutzen Angreifer:innen den alten SSL-Standard 3.0, bei FREAK machen sie sich veraltete Export-Chiffrierprogramme zunutze.

Wichtige Tipps zum Thema SSL-Zertifikate

Ist dein SSL-Zertifikat sicher? Hier findest du ein paar der wichtigsten Tipps und Tricks:

• Achte auf das Ablaufdatum deiner Zertifikate und erneuere sie rechtzeitig
• Verwende keine TLS-Protokolle, die älter sind als TLS 1.2
• Habe ein wachsames Auge auf die Art und Infos von SSL-Zertifikaten
• Installiere zusätzlichen Malware-Schutz auf deinem PC bzw. deinem Server
• Informiere dich laufend zu aktuellen Sicherheitslücken