![\"Sicherheit\"](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2014\/03\/Sicherheit.jpg\" "\\"Sicherheit\\"")
Sp\u00e4testens seit dem Auftauchen der OpenSSL-Heartbleed-L\u00fccke, den Snowden-Enth\u00fcllungen und den Phishing-Wellen sollten Anwender zumindest Basiskenntnisse \u00fcber das Thema SSL-Zertifikate haben. Und Anbieter ben\u00f6tigen Wissen zur Zertifkatsauswahl. M\u00f6glicherweise ist es aber f\u00fcr den einen oder andere Blog-Leser ganz hilfreich, eine kurze Einf\u00fchrung in die Thematik zu bekommen.<\/p>\n
<\/p>\n
In meinen Einsteigerb\u00fccher rund um das Thema Internet findet sich zwar immer eine Einf\u00fchrung in das Thema sichere Internetverbindung mit SSL-Zertifikaten. Die Basics hatte ich vor langer Zeit auch mal (in Zusammenarbeit mit Symantec) in diesem Beitrag<\/a> erkl\u00e4rt. Wer aber SSL-Zertifikate als Webseitenbetreiber einsetzen will, braucht eventuell mehr Informationen oder Unterst\u00fctzung bei der Auswahl der richtigen SSL-Zertifkate und Zertifikatsaussteller. Durch Zufall ist mir ein Text der PSW GROUP<\/a> aus Fulda mit einigen sinnvollen Informationen zum Thema in die Finger gefallen \u2013 den ich hier (mit kleinen Erg\u00e4nzungen\/\u00c4nderungen meinerseits) ver\u00f6ffentlichen darf. Vielleicht ist es f\u00fcr euch von Interesse, da sowohl die Nutzer- als auch die Anbieterseite angesprochen wird.<\/p>\n Das Problem an der Sache: Es gibt zahlreiche Anbieter vieler verschiedener Arten von SSL-Zertifikaten. Der folgende Beitrag kl\u00e4rt dar\u00fcber auf, welches SSL-Zertifikat das richtige f\u00fcr den kleinen Blog, den mittelgro\u00dfen Online-Shop und die umfangreiche, sicherheitsrelevante Seite ist.<\/p>\n Fast jeder, der sich mit dem Internet besch\u00e4ftigt, hat den Begriff schon mal irgendwie geh\u00f6rt. Was aber steckt genau hinter einem SSL-Zertifikat? SSL ist die Abk\u00fcrzung von Secure Sockets Layer. Das SSL-Protokoll stellt einen Kanal dar, der es zwei Endpunkten (Client und Server) erm\u00f6glicht, den Datenaustausch sicher zu machen. Das Internet und die Daten\u00fcbertragung selbst ist eigentlich unsicher, da alles standardm\u00e4\u00dfig unverschl\u00fcsselt \u00fcbertragen wird. Sollen nun sensible Informationen von A (Webbrowser) nach B (Webserver) gesendet werden, setzt man SSL ein (die Kommunikation zwischen Server und Client wird dann verschl\u00fcsselt). Solange Dritte diese Verschl\u00fcsselung nicht knacken k\u00f6nnen (was bei der Heartbleed-L\u00fccke der Fall war), bleiben die \u00fcbertragenen Daten f\u00fcr diese unbefugten Dritte unlesbar. Um eine SSL-Verschl\u00fcsselung zu nutzen, muss der Anwender, der eine gesicherte Seite besucht, nichts unternehmen. Jede Aktivit\u00e4t geht vom Webseitenbetreiber bzw. dessen Server aus \u2013 und der Browser bzw. das Client-Programm sorgt f\u00fcr die korrekte Entschl\u00fcsselung der empfangenen Daten.<\/p>\n Mit SSL verschl\u00fcsselte Webseiten werden \u00fcber das sogenannte https<\/em>-Transportprotokoll \u00fcbertragen (unverschl\u00fcsselte Webseiten \u00fcbertr\u00e4gt der Webserver per http-<\/em>Transportprotokoll zum Client).<\/p>\n Der Webseitenbesucher erkennt eine SSL-gesicherte Verbindung an dem kleinen Sicherheitsschloss in der Adressleiste des Browsers. Weiter steht \"HTTPS\" in der Adressleiste. Wer also sich also bei Facebook, beim Online-Konto der Bank, beim E-Mail-Postfach, beim Amazon-Shop, bei eBay etc. an seinem Benutzerkonto anmeldet, sollte auf die Verwendung der SSL-Verschl\u00fcsselung achten.<\/p>\n Sehen wir uns das an einem prominenten Beispiel der Blogosph\u00e4re an: Die Website netzpolitik.org <\/em>ist SSL-gesichert. Der Besucher sieht das Schloss und HTTPS anstelle von HTTP in der Adressleiste. Nachfolgender Screenshot zeigt das Adressfeld im Firefox \u2013 und wenn der Benutzer per Maus auf das Schloss klickt, sollte eine Einblendung mit den Details des SSL-Zertifikats erscheinen.<\/p>\n Um weitere Hintergr\u00fcnde zu verstehen und tiefergehend in die Materie einzutauchen, kann sich die interaktive Visualisierung des Instituts f\u00fcr Telematik<\/a> ansehen (erfordert Flash).<\/p>\n <\/p>\n Wer als Betreiber eines Webangebots seine Inhalte per SSL abgesichert bereitstellen m\u00f6chte, ben\u00f6tigt ein SSL-Zertifikat von einem entsprechenden Anbieter (Trust-Stelle). \u00dcber das Zertifikat best\u00e4tigt der Aussteller (Trust-Stelle), dass sich hinter der abgerufenen Webseite der Zertifikatsbesitzer (z.B. die Bank, der Anbieter der Webseite etc.) steckt. Allerdings ist der Markt der SSL-Zertifikatsanbieter gro\u00df und un\u00fcbersichtlich geworden. Warum kostet das eine Zertifikat lediglich 15 Euro pro Jahr, das andere aber 299 Euro? Um das richtige Zertifikat zu finden, gilt es, den eigenen Bedarf zu kennen. SSL-Zertifikate lassen sich bei folgenden Kriterien unterscheiden:<\/p>\n Um die Zertifikatsauswahl zu erleichtern, lassen sich SSL-Zertifikate in drei Varianten einteilen: Domainvalidierte f\u00fcr kleinere Seiten, organisationsvalidierte f\u00fcr mittlere und Extended Validation-Zertifikate f\u00fcr Beh\u00f6rdenseiten. Sehen wir uns diese SSL-Zertifikateklassen etwas genauer an.<\/p>\n Es existieren zahlreiche kleinere Seiten und Shops im World Wide Web; kein Wunder also, dass domainvalidierte Zertifikate die gr\u00f6\u00dfte Verbreitung finden. Neben kleinen Websites sind sie auch geeignet f\u00fcr Foren, f\u00fcr Blogs, f\u00fcrs Intranet, aber auch f\u00fcr Mailserver. Die betreffende Domain wird ausschlie\u00dflich per E-Mail zertifiziert: Ein E-Mail-Robot schickt eine Nachricht an die WHOIS- oder eine alternative, in der Bestellung angegebene Adresse, um die Bestellung des Zertifikats zu best\u00e4tigen. Damit will die Zertifizierungsstelle (CA) pr\u00fcfen, ob der Besteller wirklich der Inhaber der Domain ist. Nach der E-Mail-Best\u00e4tigung wird binnen weniger Minuten das domainvalidierte SSL-Zertifikat ausgestellt. Preislich liegen diese SSL-Zertifikate bei rund 15 Euro pro Jahr.<\/p>\n Webshops, Firmenwebseiten oder Webmail-Anbieter setzen in aller Regel auf organisationsvalidierte SSL-Zertifikate. Der Domaincheck gleicht dem Verfahren von domainvalidierten Zertifikaten, zus\u00e4tzlich findet hier aber noch eine Identit\u00e4tspr\u00fcfung statt. So sind beispielsweise Firmen dazu angehalten, Dokumente an die CA zu senden, die bezeugen, dass sie Domaininhaber sind. Wie eine solche Pr\u00fcfung aussieht, h\u00e4ngt von der CA ab: Meist ist ein Handelsregisterauszug n\u00f6tig, daneben der Abgleich der Kontodaten und in einem telefonischen Kontakt wird \u00fcberpr\u00fcft, ob der Ansprechpartner tats\u00e4chlich real ist. Die so eingeholten Informationen werden mit dem WHOIS-Eintrag abgeglichen.<\/p>\n Preislich beginnen diese Zertifikate bei 49 Euro pro Jahr. Websurfer erkennen diese Zertifikatsart daran, dass Unternehmensname und Ort nach einem Klick aufs Schloss in der Adressleiste angezeigt werden.<\/p>\n Beh\u00f6rdenseiten setzen in aller Regel auf Extended Validation-Zertifikate. Schon optisch wird dem Besucher klar, dass diese Seiten sicher sind: In der Adressleiste wird in gr\u00fcner Farbe darauf hingewiesen, dass die Seite Extended Validation-Zertifikate nutzt. Ein Beispiel daf\u00fcr liefert die Seite mozilla.org (siehe folgender Screenshot):<\/p>\n Das Anklicken des Schloss-Symbols verr\u00e4t den Domain-, den Unternehmensnamen und den Ort des Unternehmens. Solche Zertifikate werden grunds\u00e4tzlich mit 256 Bit verschl\u00fcsselt. Mit der h\u00f6chsten Browserakzeptanz k\u00f6nnen diese Seiten sogar mit exotischen Browsern abseits von Google Chrome, Firefox und IE aufgerufen werden. Nur dann, wenn der Besteller eines solchen Zertifikats in einem \u00f6ffentlichen Register wie dem Handelsregister zu finden ist, werden solche Zertifikate ausgestellt. Dokumente m\u00fcssen unterzeichnet, au\u00dferdem telefonisch best\u00e4tigt werden. Der Domaincheck und die Pr\u00fcfung der Identit\u00e4t erfolgen wie beim organisationsvalidierten Zertifikat. Die Preise beginnen bei den Extended Validation-Zertifikaten bei 300 Euro.<\/p>\n Die richtige Art des SSL-Zertifikats ist gefunden, nun fehlt nur noch ein Anbieter. Zertifizierungsstellen gibt es wie Sand am Meer \u2013 von der US-amerikanischen CA wie beispielsweise Comodo bis zur europ\u00e4ischen wie etwa SwissSign ist alles m\u00f6glich. Europ\u00e4ische Zertifizierungsstellen gewinnen seit den Enth\u00fcllungen \u00fcber die NSA und andere Geheimdienste immens an Bedeutung. Wer seine Seiteninhalte \u00fcber eine https<\/em>-Verbindung SSL-verschl\u00fcsselt bereitstellen will oder muss, steht als Anbieter vor der Frage, die Zertifizierungsstelle zur Ausstellung des SSL-Zertifikats ausw\u00e4hlen zu m\u00fcssen. Hier empfiehlt es sich, sich beraten zu lassen. Dies kann beispielsweise bei der PSW GROUP<\/a>, die mit allen g\u00e4ngigen Zertifizierungsstellen zusammenarbeitet und vom domainvalidierten bis zum Extended Validation-Zertifikat die komplette Bandbreite bietet.<\/p>\n Anmerkung: Den Gastartikel finde ich auch aus einem anderen Grund spannend. Ein Problem bei der SSL-Zertifizierung, die ich mir als Surfer stelle, ist n\u00e4mlich \"wie stelle ich eigentlich die Vertrauensstellung des Zertifikatsgebers sicher\"? Ist ein Zertifikatsaussteller im fernen Amerika oder in Fernost sicher? Kann der zur Not (wie jetzt bei der Heartbleed-Sicherheitsl\u00fccke) die Zertifikate auch schnell auf Anforderung von diversen Kunden austauschen. Sind dessen Zertifikate gegen Diebstahl gesichert. Diese und \u00e4hnliche Fragen sollte der Anbieter PSW GROUP<\/a> seinen Kunden eigentlich beantworten k\u00f6nnen.<\/p>\n \u00c4hnliche Artikel: Sp\u00e4testens seit dem Auftauchen der OpenSSL-Heartbleed-L\u00fccke, den Snowden-Enth\u00fcllungen und den Phishing-Wellen sollten Anwender zumindest Basiskenntnisse \u00fcber das Thema SSL-Zertifikate haben. Und Anbieter ben\u00f6tigen Wissen zur Zertifkatsauswahl. M\u00f6glicherweise ist es aber f\u00fcr den einen oder andere Blog-Leser ganz hilfreich, eine kurze … Weiterlesen Raus aus dem Zertifikate-Dschungel: Unterschiede bei SSL-Zertifikaten<\/h3>\n
Sp\u00e4testens seit Snowdens Enth\u00fcllungen \u00fcber die Geheimdienste, die die \"internette Welt\" abh\u00f6ren, ist f\u00fcr viele Anbieter von Webinhalten klar, dass sie ihre Webseiten sch\u00fctzen m\u00fcssen. SSL-Zertifikate k\u00f6nnen da helfen, geben diese doch einen entsprechenden Schutz, und hinterlassen beim Seitenbesucher aufgrund der Sichtbarkeit in der Adressleiste des Browsers ein sichereres Gef\u00fchl.<\/p>\n
Kleiner Grundlagen-Exkurs: Was sind eigentlich SSL-Zertifikate?<\/h3>\n
Woran erkennt man als Websurfer eine SSL-verschl\u00fcsselte Verbindung?<\/h3>\n
![\"\"](\"https:\/\/i.imgur.com\/yI8TUGK.jpg\")
<\/p>\nVerschiedene SSL-Varianten<\/h3>\n
\n
Domainvalidierte SSL-Zertifikate<\/h3>\n
Organisationsvalidierte SSL-Zertifikate<\/h3>\n
Extended Validation-Zertifikat<\/h3>\n
![\"\"](\"https:\/\/i.imgur.com\/d8ntRwX.jpg\")
<\/p>\nWelcher Anbieter ist der richtige?<\/h3>\n
\n<\/strong>a1: Katastrophe: OpenSSL mit Heartbleed-Sicherheitsl\u00fccke<\/a>
\na2: HeartBleed: Sicherheit \u00fcberpr\u00fcfen, Kennw\u00f6rter \u00e4ndern<\/a>
\na3: NSA nutzt Heardbleed-Sicherheitsl\u00fccke seit Jahren!<\/a>
\na4: TrueCrypt: Erst-iSEC-Audit abgeschlossen\u2013ist aktuell sicher<\/a>
\na5: Erinnerung: SSL\/STARTTLS wird scharf geschaltet<\/a>
\na6: 1&1 stellt E-Mail-Server auf SSL-Verschl\u00fcsselung um<\/a>
\na7: Apple gibt OS X 10.9.2 Updates f\u00fcr SSL-Bug frei<\/a>
\na8: Sicher online \u2013 SSL-Zertifikate erkl\u00e4rt<\/a>
\na9: Microsoft Fixit f\u00fcr SSL-L\u00fccke<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"