Unternehmen im Online-Geschäft müssen Kunden und Interessenten ein vertrauenswürdiges Umfeld für ihre Käufe bieten. Durch die sichere Verbindung, die sie ermöglichen, bilden SSL-Zertifikate die Basis dieses Vertrauens. Um die Besucher von der Sicherheit der Verbindung zu überzeugen, zeigen die Browser bestimmte Eigenschaften, von uns „EV-Symbole“ genannt. Dabei handelt es sich zum Beispiel um ein grünes Vorhängeschloss oder ein Markenlogo in der URL-Leiste.
SSL-Zertifikate verfügen über ein Schlüsselpaar: einen öffentlichen und einen privaten Schlüssel. Zusammen ermöglichen die beiden Schlüssel eine verschlüsselte Verbindung. Das Zertifikat enthält außerdem ein „Subject“; das ist die Identität des Eigentümers des Zertifikats bzw. der Website.
Um ein Zertifikat zu erhalten, müssen Sie auf Ihrem Server eine Anforderung zur Zertifikatsignierung (Certificate Signing Request, CSR) stellen. Dabei werden auf Ihrem Server ein privater Schlüssel und ein öffentlicher Schlüssel erzeugt. Die CSR-Datei, die Sie dann an die SSL-Zertifizierungsstelle (Certificate Authority, CA) senden, enthält den öffentlichen Schlüssel. Die CA erzeugt mithilfe der CSR-Datei eine Datenstruktur, die zu Ihrem privaten Schlüssel passt, wozu sie Ihren privaten Schlüssel jedoch nicht benötigt. Dieser bleibt geschützt.
Wenn Sie das SSL-Zertifikat erhalten haben, installieren Sie es auf Ihrem Server. Außerdem installieren Sie ein Zwischenzertifikat, das die Vertrauenswürdigkeit Ihres SSL-Zertifikats belegt, indem es dieses mit dem Root-Zertifikat Ihrer CA verknüpft. Die Vorgehensweise für das Installieren und Testen Ihres Zertifikats unterscheidet sich je nach Server.
Die folgende Grafik illustriert die so genannte Zertifikatskette. Auf diese Weise wird Ihr Serverzertifikat über ein Zwischenzertifikat mit dem Root-Zertifikat der CA (in diesem Fall DigiCert) verknüpft.
Das Wichtigste an einem SSL-Zertifikat ist, dass es von einer vertrauenswürdigen CA wie DigiCert digital signiert ist. Ein Zertifikat kann jeder erzeugen, aber ein Web-Browser vertraut nur Zertifikaten, die von einer Organisation auf seiner Liste vertrauenswürdiger CAs stammen. In jedem Browser ist eine Liste vertrauenswürdiger CAs vorinstalliert, die so genannten „vertrauenswürdigen Stammzertifizierungsstellen“. Um in diese Liste aufgenommen und als Zertifizierungsstelle anerkannt zu werden, muss ein Unternehmen dem von den Browsern festgelegten Sicherheits- und Authentifizierungsstandards entsprechen und sich einem Prüfverfahren unterziehen.
Ein SSL-Zertifikat, das von einer CA für ein Unternehmen und dessen Domain/Website ausgestellt wurde, belegt, dass ein vertrauenswürdiger Dritter die Identität dieses Unternehmens überprüft hat. Da der Browser der CA vertraut, vertraut er nun auch der Identität des Unternehmens. Der Browser teilt dem Anwender mit, dass die Website sicher ist und er dort bei Bedarf auch vertrauliche Informationen eingeben kann.
Mithilfe von SSL können sensible Daten wie Kreditkartennummern, Ausweisnummern oder Anmeldedaten sicher übertragen werden. Ohne eine Verschlüsselungsmethode würden Daten zwischen Browsern und Webservern in Klartext übertragen, wodurch sie nicht vertraulich wären. Wenn ein Angreifer alle Daten zwischen einem Browser und einem Webserver abfinge, könnte er diese problemlos mitlesen und für sich verwenden.
Genau genommen ist SSL ein Sicherheitsprotokoll. Protokolle legen fest, wie Algorithmen verwendet werden müssen. In diesem Fall legt das SSL-Protokoll die Variablen der Verschlüsselung für die Verbindung und für die übertragenen Daten fest.
Alle Browser sind in der Lage, mithilfe des SSL-Protokolls mit gesicherten Webservern in Verbindung zu treten. Zur Herstellung einer sicheren Verbindung brauchen der Browser und der Server allerdings ein SSL-Zertifikat.
SSL schützt täglich die Daten von Millionen Menschen im Internet, insbesondere bei Online-Transaktionen, bei denen vertrauliche Informationen übertragen werden. Ein vertrauter Anblick für Internetbenutzer ist dabei das Schlosssymbol, das eine mit SSL gesicherte Website anzeigt, oder auch die grün gefärbte Adresszeile, die auf eine durch SSL gesicherte Website mit Extended Validation hinweist. Die Namen von Websites, die mit SSL gesichert sind, beginnen außerdem mit der Zeichenfolge „https“ statt „http“.
Die Grundzüge von SSL-Zertifikaten und der zugrunde liegenden Technologie hätten wir damit geklärt. Möchten Sie mehr über SSL-Kryptografie wissen?
Wenn ein Browser auf eine Website zuzugreifen versucht, die mit SSL gesichert ist, stellen der Browser und der Webserver mithilfe des Vorgangs „SSL-Handshake“ eine SSL-Verbindung her (siehe nachfolgende Grafik). Der SSL-Handshake findet blitzschnell statt und ist für den Anwender nicht sichtbar.
Um die SSL-Verbindung herzustellen, werden im Prinzip drei Schlüssel gebraucht: ein öffentlicher, ein privater und ein Sitzungsschlüssel. Inhalte, die mit dem öffentlichen Schlüssel verschlüsselt wurden, können nur mit dem privaten Schlüssel entschlüsselt werden und umgekehrt.
Da das Ver- und Entschlüsseln mit einem privaten und einem öffentlichen Schlüssel viel Rechenleistung in Anspruch nimmt, kommen diese beiden nur während des SSL-Handshakes zum Einsatz, um einen symmetrischen Sitzungsschlüssel zu erzeugen. Nach dem Aufbau der sicheren Verbindung dient der Sitzungsschlüssel zur Verschlüsselung aller übertragenen Daten.
Das SSL-Protokoll wurde schon immer zur Verschlüsselung und Sicherung übertragener Daten genutzt. Immer, wenn eine neue und noch sicherere Version herauskam, wurde nur die Versionsnummer erhöht (z. B. SSLv2.0). Als aber das Update von SSLv3.0 anstand, nannte man die neue Version nicht SSLv4.0, sondern TLSv1.0. Aktuell sind wir bei TLSv1.3.
Da aber SSL immer noch der besser bekannte Begriff ist, sprechen wir bei DigiCert in Bezug auf Zertifikate oder die Sicherung übertragener Daten von TLS/SSL. Wenn Sie ein SSL-Zertifikat von uns kaufen (z. B. Standard-SSL, SSL mit Extended Validation usw.), erhalten Sie eigentlich ein TLS-Zertifikat (RSA oder ECC).
Anwendung
Auch Websites, die keine Zahlungen entgegennehmen und keine sensiblen Informationen abfragen, brauchen HTTPS, um Nutzeraktivitäten vertraulich zu behandeln, – sogar Blogs.
TLS/SSL verschlüsselt und schützt Benutzernamen und Passwörter sowie Formulare für die Eingabe personenbezogener Daten oder zum Hochladen von Bildern oder Dokumenten.
Es ist wahrscheinlicher, dass ein Kunde einen Kauf abschließt, wenn er weiß, dass Ihre Bezahlseite (und seine Kreditkartennummer) sicher ist.
Empfohlener TLS/SSL-Zertifikatstyp
TLS/SSL-Zertifikate mit Unternehmensvalidierung (OV) – die zweithöchste Stufe von Authentizität und Identitätsprüfung
TLS/SSL-Zertifikate mit Unternehmensvalidierung (OV) – die zweithöchste Stufe von Authentizität und Identitätsprüfung
TLS/SSL-Zertifikate mit Extended Validierung (EV) – die höchste Authentizitätsstufe mit der strengsten Identitätsprüfung
Produkte von DigiCert