SSL-Zertifikate sorgen für eine abhörsichere Verbindung zwischen Webbrowser und Webserver. Das empfiehlt sich vor allem dann, wenn sensible und personenbezogene Daten übermittelt werden. Dieser Beitrag zeigt, welche Zertifikatstypen es gibt und wer SSL-Zertifikate einsetzen sollte.
Ein SSL-Zertifikat ist für die verschlüsselte Verbindung zwischen Anwender (Browser) und dem Webserver zuständig. Damit werden beispielsweise Login-Daten, E-Mail-Adressen und Kreditkarteninformationen zwischen Webbrowser und Webserver verschlüsselt ausgetauscht. Folge: Daten können von Unbefugten während des Transfers nicht gelesen bzw. manipuliert werden.
Sogenannte Certification Authorities (CA) stellen Zertifikate aus und verwalten diese. Webseitenbetreiber erhalten von ihrer CA-Stelle ein Schlüsselpaar für die Verschlüsselung der Datenverbindung, das aus einem privaten und einem öffentlichen Schlüssel besteht. Der private Schlüssel wird auf dem Webserver gespeichert, den öffentlichen stellt die CA-Stelle bereit. Damit werden die Daten zuverlässig ver- und entschlüsselt.
Darin unterscheiden sich die gängigen SSL-Zertifikate
Man unterscheidet drei Typen von SSL-Zertifikaten: Für die Validierung einer Webseite (Domain Validation; DV), für die Validierung einer Firmen-Webseite (Organizational Validation; OV) und für die erweiterte Validierung einer Unternehmenswebseite (Extended Validation; EV).
Bei der DV wird das SSL-Zertifikat lediglich für eine einzelne Domain erstellt und verwendet. Das gilt für eine OV zwar auch, allerdings wird zusätzlich gecheckt, ob es sich beim Domain-Inhaber um eine existierende Firma handelt. Die EV geht noch einen Schritt weiter und überprüft sämtliche Personen, die das SSL-Zertifikat beantragt haben. Daraus ergibt sich, dass EV-Zertifikate das höchste Vertrauen genießen, gefolgt von OV- und DV-Zertifikaten.
Darüber hinaus unterscheiden sich SSL-Zertifikate in ihrer Anwendbarkeit: So gibt es Zertifikate, die sich auf eine Hauptdomain beschränken (Single Name; SN), auf die Hauptdomain und sämtliche Subdomains (Wildcard) sowie auf mehrere Domains (Multi-Domain; MD). Daher sind SN-Zertifikate speziell für kleinere Blogs oder Webseiten sinnvoll. Sobald die Internetpräsenz eine Subdomain wie shop.domain.de aufweist, ist ein Wildcard-Zertifikat erforderlich. Größere Firmen mit zahlreichen Domains benötigen ein MD-Zertifikat, das oft in Kombination mit OV-Zertifikaten genutzt wird.
Onlineshops und Banken: Diese Firmen sollten/müssen SSL-zertifiziert arbeiten
Die SSL-Verschlüsselung sollten vor allem Webseitenbetreiber einsetzen, die mit personenbezogenen oder sensiblen Daten arbeiten. Dazu zählen unter anderem Onlineshops, die Kreditkarten- und käuferbezogene Daten abfragen und speichern. Aber auch Blogbetreiber, die Logindaten für das Kommentieren einzelner Beiträge speichern, sollten über ein SSL-Zertifikat nachdenken. Selbstredend, dass Banken und ähnliche Unternehmen mit OV-MD-Zertifikaten operieren – für ein Höchstmaß an Sicherheit während der Geldtransaktionen.