Im Internet stößt man täglich auf Begriffe, die wie selbstverständlich klingen, deren Bedeutung man aber noch nicht richtig verstanden hat, was genau sich dahinter verbirgt. Oder man hat nur eine ungefähre Ahnung, worum es geht. Den Begriff SSL Zertifikat haben Sie sicherlich schon des Öfteren gelesen.
Es gibt einige Möglichkeiten, um die Besucher Ihrer Webseite zu schützen – eine davon sind sogenannte SSL-Zertifikate. Wir zeigen Ihnen, was es mit Zertifikaten auf sich hat und warum sie für Ihre Webseite sinnvoll sind.
Was ist ein SSL Zertifikat?
SSL steht für „Secure-Sockets-Layer“ und verschlüsselt die Kommunikation von Daten, die von Ihrem Computer zu einem Web-Server transportiert werden. Oft sieht man die Bezeichnung SSL/TLS, wobei die Abkürzung TLS für „Transport-Layer-Security“ steht. Bei TLS handelt es sich um die standardisierte Weiterentwicklung des „Secure-Sockets-Layer“-Protokolls: SSL wurde zum Standard erklärt und in TLS umbenannt. Da der Begriff SSL aber bekannter ist, findet er immer noch Anwendung.
Eine Verschlüsselung findet auf den zu übertragenden Daten zwischen Web-Browser und Server statt. Die Details dazu findet man in einem entsprechenden SSL-Zertifikat. Das SSL-Zertifikat ist quasi wie ein Vertrag zwischen Web-Browser und Web-Server, in dem die Konditionen definiert sind.
Die Hauptaufgaben von SSL/TLS sind:
- Die Authentifizierung der Kommunikationspartner durch den Einsatz von Verschlüsselungsverfahren.
- Die vertrauliche Ende-zu-Ende-Datenübertragung mithilfe symmetrischer Verschlüsselungen. Erreicht wird das mit der Nutzung eines gemeinsamen Sitzungsschlüssels.
- Die Sicherstellung der Integrität der transportierten Daten.
Anders ausgedrückt: Ein digitales SSL-Zertifikat ist ein digitaler Datensatz, der bestimmte Eigenschaften von Personen oder Objekten bestätigt und dessen Authentizität und Integrität geprüft werden. Das digitale Zertifikat enthält alle benötigten Informationen, die für diese Prüfung gebraucht werden.
Wie funktioniert ein TLS/SSL Zertifikat?
Ihr Browser baut eine Verbindung zu einem Web-Server auf und für gewöhnlich authentifiziert sich der Server gegenüber dem Client mit einem Zertifikat. Es wird ein geheimer Schlüssel errechnet, der in weiterer Folge benutzt wird, um die Kommunikation mit einer Verschlüsselung zu codieren.
Ein SSL-Zertifikat ist also nichts anderes als ein Übereinkommen zwischen Ihrem Browser und einem Server, um Ihre an den Server zu übertragenden Daten verschlüsseln zu können.
Wie erkenne ich als Nutzer, ob eine Webseite ein Zertifikat nutzt?
Ob SSL/TLS aktiviert ist, sehen Sie an einem kleinen Schloss-Icon, das ganz links in der Adresszeile des Browsers zu sehen ist. Daraus können Sie neben der Versionsnummer auch entnehmen, mit welcher Art von Zertifikat Sie es genau zu tun haben.
Außerdem beginnt eine verschlüsselte und damit sichere Seite immer mit https:// in der Adress-Zeile (URL) im Internet. https:// garantiert, dass die Datenübertragung nur verschlüsselt und damit sicher erfolgt. Sensible Daten (Kreditkartendaten, Online-Banking-Daten, Zugangsdaten zu Webforen bzw. E-Mail-Anbietern etc.) sollten nur verschlüsselt übertragen werden. Achten Sie deshalb bei sensiblen Daten auf das "https://".
Was steckt hinter https?
Der Internet Browser verschlüsselt Daten auf dem Übertragungsweg mit dem SSL/TLS-Protokoll. Das ist der am meisten verwendete Verschlüsselungsstandard im Internet und in der e-Mail Kommunikation. Dieser Standard garantiert eine gesicherte und zuverlässige Datenübertragung zwischen Kommunikationspartnern. Mit SSL/TLS verschlüsselte Daten können während der Übertragung nicht gelesen oder manipuliert werden.
Identifizierung von Webseiten
Wenn Sie eine Webseite mit "https://" aufrufen, können Sie anhand des Zertifikates den tatsächlichen Betreiber der Webseite feststellen. Mit dem Klick auf das Schloss-Symbol (roter Kreis) werden Ihnen mehr Identifizierungsinformationen zu einer Webseite angezeigt.
Beispiel für nicht passende Identifizierungsinformationen
Ist die Adressleiste nicht mehr grün, sondern rot, stimmt etwas nicht. Dort, wo im Normalfall das Schloss zu sehen ist, ist in folgendem Beispiel ein rotes Kreuz mit der Meldung „Certificate Error“.
Wenn man die Meldung "Certificate Error" anklickt kommt der Grund für die Fehlermeldung. In diesem Fall passt die Domain der Webseite nicht zu den Identifizierungsinformationen. Dies kommt besonders häufig bei Phishing Seiten vor, welche Zugangsdaten zu einem Online-Banking-Account stehlen wollen.
Jeder Browser stellt die Farbcodierung etwas anders dar. Die folgenden Links führen Sie zu den Herstellerseiten der Browser und informieren Sie über die verschiedenen Farben.