SSL-Zertifikate wer und was steckt dahinter?

Die seit 2006 eigentlich veraltete Bezeichnung SSL wirft noch immer einige Fragezeichen bei Webseite-Besitzern auf. Meistens wird sie mit den Begriffen teuer; nur für was für die Großen; kompliziert; und anderen Aussagen negativ assoziiert. Das ist allerdings nicht korrekt! In diesem Artikel verraten wir Ihnen ein paar technische Details zum Thema Verschlüsselungsprotokolle.

SSL und TSL, wo ist der Unterschied?
sicherheit
Datensicherheit ist für den Benutzer ein sehr hohes Gut. Eine seriöse Webseite sollte, sobald sie Formulardaten vom Benutzer entgegennimmt, diese Verbindungen verschlüsseln um Manipulationen und das Abfangend er Daten zu verhindern.

Das ist ganz einfach zu erklären: Es gibt keinen! Als im Jahr 1995 die Online-Shopping und Online-Banking-Welle losbrach, wurden die Anforderungen an die Sicherheitsmerkmale des Internets höher. Um das Abfangen von Daten zu Verhindern, hat man sich bemüht einen Standard für eine Verschlüsselungstechnik zu finden. Bereits 1994 etablierte Netscape in ihrem Browser das Secure Sockets Layer Protokoll, kurz: SSL (1.0). Mit der neuen Ausgabe des Browser, wenige Monate später, folgte dann bereits Version 2.0. Ende 1995 erkannte Microsoft den Bedarf einen eigenen Browser zu veröffentlichen und verwendete hierfür ein eigenes Protokoll, dass PCT (Private Communication Technology) genannt wurde. Es war gegenüber Netscapes SSL-Version bereits leicht im Vorteil. Diese Vorzüge übernahm der Konkurrent dann auch für seine Version 3.0 und diese setzte sich dann gegenüber PCT durch. Dazu wurde Sie jedoch von der Internet Engenineering Task Force prompt umbenannt in TSL (Transport Layer Security) 1.0.
Das heißt de facto waren SSL 3.1 und TSL 1.0 absolut identisch. Wir schreiben das Jahr 1999 und bleiben für viele Jahre auf diesem Entwicklungsstand. Erst 2006 wurden verschiedene kleinere Ausbesserungen an TSL vorgenommen und ab diesem Zeitpunkt standardisiert. Somit gibt es seit dato keine SSL-Version mehr. Diese ist mittlerweile auch gar nicht mehr zulässig. Eine Verschlüsselung findet nur noch über TSL statt. Der Begriff hat sich jedoch nicht gegenüber der Vorgängerbezeichnung durchgesetzt und alle Welt spricht weiterhin von SSL-Verschlüsselung und meint damit TSL.

Anwendungsfälle des Protokolls

Am bekanntesten ist der Einsatz für das Hypertext Transfer Protokoll (HTTP), mit dem Webinhalte, also der im Browser dargestellte Hypertext (HTML) genannte Code sicher übermittelt werden. Fast Jeder ist schon mal über die Abkürzung HTTPS gestolpert. Zumal sie in der Regel im Webbrowser dafür sorgt, dass die Adressleiste mit einem Schloss versehen, oder sogar komplett eingefärbt wird. Neben diesem, gibt es noch unzählige andere Internet-Daten-Protokolle die TSL unterstützen und die ebenso sicher genutzt werden sollten.

  • FTPS statt unsicherem FTP, zum Datentransfer
  • POP3S, IMAPS und SMTPS als Email-Transfer-Protokolle ersetzen ihre unsicheren Vorgänger (ohne S am Ende)
  • SIPS als sicherer Nachfolger des Internet-Telefonie-Protokolls SIP 
  • LDAPS verschlüsselt nun die Authentifizierungsmethode LDAP
  • und viele mehr
Funktionsweise, oder: warum man Zertifikat-Stellen braucht

Die Funktionsweise ist nicht ganz einfach zu erklären. Kurz und sehr abstrakt: Es gibt 2 so genannte Schlüssel. Der erste, der private Schlüssel wird auf Ihrem Webserver installiert. Dieser Schlüssel dient als eine Art Siegel der Zertifizierungsstelle, bei der sie Ihr SSL-Zertifikat gekauft haben. Der zweite, öffentliche Schlüssel, wird ebenfalls auf Ihrem Server hinterlegt. Er dient zur eigentlichen Verschlüsselung der Webinhalte.
Schauen wir uns doch einfach mal exemplarisch den Aufruf einer Seite über das HTTPS-Protokoll an:

  1. Anfrage des Benutzers an den Server: Aufbau einer verschlüsselten Verbindung.
  2. Anzeige des Zertifikats und Überprüfung der:
    • Gültigkeit
    • Signatur durch die Dritte Instanz (die Ausgabestelle, auch Zertifizierungs-Stelle genannt)
  3. Übertragung eines weiteren Schlüssels (Inhalts-Schlüssel), für diese Anfrage. Dieser ist mit dem öffentlichen Schlüssel auf Ihrem Server kompatibel.
  4. Dieser dritte Schlüssel wird durch den Server entschlüsselt (jetzt allerdings mit dem privaten Schlüssel)
ssl keys
Verschiedene Schlüssel identifizieren den Nutzer, den Server und die Zertifizierungsstelle. Sicherheit entsteht dabei erst, wenn die Schlüsselpaare zugeordnet werden können, ohne dass man den Schlüssel des anderen kennen muss.

Ihre Webinhalte sind nun mit diesem Inhalts-Schlüssel chiffriert. Bei jedem Seitenaufruf wird ein neuer Schlüssel generiert. Die Sicherheit entsteht im eigentlichen Sinne daraus, dass der Benutzer und der Server jeweils einen Schlüssel haben der zueinander passt, diese Schlüssel aber jeweils dem anderen nicht bekannt sind und damit auch nicht abgefangen werden kann. Der öffentliche Schlüssel Ihres Servers dient nur dazu die Inhalts-Schlüssel zu verifizieren. Mit diesem alleine kann jedoch kein Inhalt verschlüsselt werden. Nur der unbekannte, private Schlüssel kann das.

Die Zertifizierungsstellen unterscheiden innerhalb Ihres Angebotes noch, inwiefern der Schlüssel für einen Aufruf gültig ist und wie ausführlich die Verifizierung ist. Zum Beispiel kann ein Schlüssel nur für eine Domain gültig sein, für eine unter diesem Server gehostete Subdomain (xyz.ihredomain.tld) ist aber nicht Bestandteil des Zertifikats und würde als unsicher eingestuft. Die Anzeige im Browser (das grüne Schloss) kann zudem weitere Informationen beinhalten. Ein maximale Verifizierung, bestätigt nicht  nur, dass diese Webadresse zu einem bestimmten Server gehört, sondern zum Beispiel auch, dass die Domain einem bestimmten Besitzer zugeordnet ist. Dann steht in der Adressleiste zusätzlich zum Schloss auch noch der Inhaber des Zertifikats in Kurzform. Ein solches Zertifikat erfordert meist, dass Sie neben dem Server, der IP und anderen technischen Details auch Ihr Unternehmen oder Ihre Person selbst bestätigen lassen. Es gilt als Königsklasse der Zertifikate und ist auch entsprechend teuer.

Braucht man eine Zertifizierungsstelle

Generell eigentlich nicht. Man kann auch den Zwischenschritt der Inhalts-Schlüssel-Ausgabe durch die Zertifizierungsstelle überspringen, bzw. durch den eigenen Server vornehmen lassen. Aber das ist als hochgradig unsicher einzustufen, der nicht bestätigt werden kann, dass der Server während der Verbindung nicht manipuliert wird. Daher erhalten die Benutzer in Ihrem Browser nun eine Fehlermeldung und die Verbindung wird als unsicher gekennzeichnet und bei vielen Webbrowsern zunächst einmal verweigert.

Sie können sich auch selbst verifizieren. Man könnte einen zweiten Server benutzen und diesen als Zertifizierungsstelle betreiben. Allerdings ist in jedem Webbrowser eine Liste der weltweit als sicher bestätigten Zertifikats-Aussteller hinterlegt. Verbindungen und Zertifikate die von unbekannten Quellen kommen, werden ebenso als unsicher eingestuft. Um in die Liste der sichern Zertifikats-Quellen aufgenommen zu werden gelten strenge Richtlinien, die regelmäßig überprüft werden. Der Vorgang ist sehr aufwändig, zehrt an Ihren Ressourcen und ist kostspielig, so dass selbst große Unternehmen diesen Schritt nicht wagen.

Wir beraten Sie gerne welches Zertifikat für Sie überhaupt erforderlich ist und wie Sie dieses kostengünstig umsetzen können.

 

 

4 Gedanken zu „SSL-Zertifikate wer und was steckt dahinter?

  • 23. November 2016 um 16:44
    Permalink

    Hallo K. Mummert,
    vielen Dank für Ihre Erklärungen im Artikel. Auf den Websites von SSL-Anbieter kann man eine Menge von verschiedenen SSL-Zertifikaten finden. Hier http://www.emaro-ssl.de/ z.B. habe ich auf verschiedene Typen von Validierung gestoßen. Als Neuling in diesem Feld ist es ziemlich schwierig alle Kleinigkeiten zu verstehen. Welches würden Sie denn für einen kleinen Online-Shop vorschlagen?

    • 8. Dezember 2016 um 21:11
      Permalink

      Hallo D.Schwab,

      entschuldigen Sie bitte die späte Reaktion, wir sind im Moment etwas im Weihnachts-Stress hier.
      Zu Ihrer Frage: Ich kann mich leider nicht für die Produkte anderer Anbieter verbürgen und kenne Ihre genaue Situation nicht ausreichend genug um eine qualifizierte Beratung bieten zu können. Ganz allgemein sollte für einen kleinen Webshop allerdings ein einfaches, domain-validiertes Einzelzertifikat genügen. Dies ist auch etwas abhängig von Ihrem zu erwartenden Kundenkreis. Die meisten Privatanwender sind mit einem einfachen Zertifikat vollauf zufrieden. Eine Organisationsvalidierung ist jedoch eine Überlegung wert, da es Sie als Händler bestätigt und nicht als Privatanwender. Skeptische Benutzer werden auf eine solche Validierung Wert legen.

  • 19. November 2016 um 13:58
    Permalink

    Ein sehr ausführlicher Artikel, allerdings wird die Frage wo ich nun so ein tolles TSL Zertifikat herbekommen kann nicht geklärt. Bieten sie solche Zertifikate auch selbst an? Meine bisherigen Recherchen ergaben leider dass sowas sehr teuer ist. Ich betreibe eine eher kleine Seite und stelle dort handwerkliche Artikel her, die ich auch über einen Webshop verkaufen will.

    • 20. November 2016 um 15:27
      Permalink

      Hallo Hans Werder,
      vielen Dank für Ihr Lob, es freut uns, wenn Ihnen unser Artikel gefällt. wir selbst sind keine Zertifizierungs-Stelle und bieten keine eigenen Zertifikate an. Allerdings ist in den fast allen unserer Hosting-Angebote ein kostenloses SSL-Zertifikat enthalten. Höherwertige Zertifizierungen richten wir Ihnen gerne ein. Sie haben vollkommen Recht, bei einem Web-Shop sollten Sie auf keinen Fall auf ein Zertifikat verzichten.
      Gerne unterbreiten wir Ihnen ein Angebot für unsere Dienste.
      Mit freundlichen Gruß
      Kevin Mummert

Kommentare sind geschlossen.