Wo kommt das Schloss eigentlich her?

Konkret tauschen sich Web-Browser und Server wie folgt aus:

1. Der Browser möchte eine Verbindung einer SSL-gesicherten Website herstellen. Dafür fordert der Browser die Identität des Webservers an.
2. Der Server sendet seinerseits eine Kopie des SSL-Zertifikats an den Browser.
3. Der Browser überprüft nun, inwieweit das SSL-Zertifikat glaubwürdig ist. Fällt die Prüfung positiv aus, sendet der Browser eine Nachricht an den Server.
4. Der Server antwortet mit einer digital signierten Bestätigung und leitet die SSL-verschlüsselte Sitzung ein.
5. Nun können Browser und Server verschlüsselt Daten austauschen.

EV-Zertifikate

Im World Wide Web gewährleisten SSL-Zertifikate das Geheimhalten von Online-Interaktionen. Kunden vertrauen Websites und Online-Shops, die als sicher gelten, wesentlich stärker. Wenn ein Online-Händler ein SSL-Zertifikat anfordert, werden die Unternehmensdaten verifiziert und auf Basis dieser wird ein SSL-Zertifikat ausgestellt. Dieser Vorgang wird als Authentifizierung bezeichnet.

Hacker, Phisher und Datendiebe sind heutzutage Teil der täglichen Berichterstattung. Gerade Websites, auf denen private Daten angegeben werden, sind wirtschaftlich interessant für Cyberkriminelle. Ihnen kommt es keinesfalls auf die Größe eines Shops an, sondern auf die Daten. Damit ist der kleine „Tante-Emma-2.0-Shop“ genauso gefährdet wie namhafte Online-Händler. Die Faustregel lautet: werden persönliche Daten (Kommentare mit E-Mail-Adresse, Bestellungen, Zahlungsdaten, etc.) abverlangt, muss die Verbindung verschlüsselt werden. Mit dem IT-Sicherheitsgesetz geht für kommerzielle Websites auch eine gesetzliche Verpflichtung einher, Daten von Website-Besuchern zu schützen.

Datenpannen können – neben dem zweifelsfrei entstehenden Image-Schaden, der oftmals kaum in Zahlen auszudrücken ist – finanzielle Einbußen zur Folge haben. Ohne eine verschlüsselte Verbindung sind Datenpannen mehr als wahrscheinlich – für kleine Shops ist diese Bedrohung genauso real wie für große Händler. Unbefugte Dritte können Kundendaten nicht nur ausspionieren, sondern sogar verändern oder im Namen eines Kunden Bestellungen durchführen. Damit verhindern SSL-Zertifikate, dass sich Cyberkriminelle als Webserver ausgeben und Daten missbrauchen. Ein weiterer Vorteil von SSL-Zertifikaten trifft die technische Seite: Nach der Installation können SSL-Zertifikate plattformunabhängig arbeiten. Mit welchem Browser die verschlüsselte Website angesteuert wird, ist egal, da alle modernen Browser mit dem Prinzip vertraut sind. Mangelnde Erreichbarkeiten ergeben sich also nicht. Eine zusätzliche Software muss nicht installiert werden, sodass die SSL-Verbindung jederzeit aufgerufen werden kann. Website-Betreiber profitieren darüber hinaus auch bezüglich ihres Online-Marketings: Der Suchmaschinenriese Google gibt sicheren Websites in den Suchergebnislisten gerne den Vorzug – Sicherheit geht vor! Ein SSL-Zertifikat ist also auch immer ein Stück weit Suchmaschinenoptimierung.

Aus Kundensicht stärken Online-Händler, die auf EV-Zertifikate setzen, das Vertrauen ungemein. Die Hemmschwelle, persönliche Daten inklusive Zahlungsdaten bei einem Online-Shop einzugeben, sinkt und einer Bestellung steht nichts mehr im Wege. SSL-Zertifikate bzw. die grüne Adressleiste geben Besuchern Hinweise auf einen vertrauenswürdigen Anbieter. Je mehr Vertrauen vorherrscht, umso eher gelingt die Kundenbindung.

Grob unterscheiden lassen sich SSL-Zertifikate nach diesen Kriterien

• Ausstellende Zertifizierungsstelle Certificate Authority (CA)
• Validierung (domain- oder organisationsvalidiert sowie Extended Validation)
• Zertifikatsart: Single (eine Domain), Wildcard (eine Domain + Subdomains) oder Multidomain
• (mehrere Domains)

Mit einem SSL-Zertifikat, und dabei insbesondere mit den umfangreich validierten EV-Zertifikaten, geben Online-Händler nicht nur das Gefühl von Sicherheit, sondern garantieren auch ein Höchstmaß an Sicherheit. Ein SSL-Zertifikat gewährleistet die private und sichere Kommunikation im öffentlichen Internet. Daten werden von einem speziellen Schlüssel so kodiert, dass sie weder ausgelesen noch abgehört werden können. Aus Expertensicht gilt SSL als sicher, wobei entscheidend dafür die Schlüssellänge ist. EV-Zertifikate sind von Haus aus mit 256 Bit gesichert und folgen damit einheitlichen, strengen Standards. Ein Extended Validation-Zertifikat beweist die Service-Fähigkeit vieler Online-Shops, da Kunden mehr Sicherheit erfahren. EV-Zertifikate unterstützen dies durch ihre immense Browser-Kompatibilität.

Jede moderne Technologie kommt früher oder später an den Punkt, an dem sie durchschaut und ausgenutzt wird. Verschlüsselung per se ist sicher, jedoch existieren unsichere Verfahren. Verantwortlich für das Standardisieren von Verschlüsselungsverfahren und -parametern zeigt sich die Internet Engineering Task Force (IETF). Dieses Standardisierungsgremium fürs Internet verfügt zwar über keine Möglichkeiten, die Einhaltung seiner Standards zu erzwingen, allerdings halten sich Zertifizierungsstellen an die Standards. Durch die Weiterentwicklung der Verschlüsselungsverfahren sind Krypto-Experten den Cyberkriminellen mindestens eine Nasenlänge voraus: Verfahren werden bereits weiterentwickelt, bevor es zu Sicherheitslücken kommt. Jüngstes Beispiel ist der SHA-1-Hash-Algorithmus: SHA-1-Signaturen gelten als nicht mehr sicher, weshalb neue Zertifikate ausschließlich mit SHA-2-Signatur ausgestellt und alte, SHA-1-signierte Zertifikate ausgetauscht werden. Alle SSL-Zertifikate, die aus namhaften, vertrauenswürdigen Quellen stammen, beinhalten aktuelle Standards. Neubesteller und Zertifikatsinhaber müssen sich also nicht mit kompromittierten Zertifikaten auseinandersetzen. Bis heute sind diese modernen Standards nicht geknackt worden. Voraussetzung dafür ist jedoch immer, dass SSL-Zertifikate korrekt implementiert und konfiguriert werden. Mit unserem Installationsservice bewegen sich Online-Händler auf der sicheren Seite!