Wie fin­de ich das rich­ti­ge SSL Zer­ti­fi­kat?

Es gibt inzwi­schen immer mehr Zer­ti­fi­zie­rungs­stel­len, die um Kun­den wett­ei­fern. Die Prei­se die­ser Zer­ti­fi­ka­te könn­ten unter­schied­li­cher nicht sein, aber was genau ist der Unter­schied? Wel­ches Zer­ti­fi­kat Sie benut­zen soll­ten, und auf wel­che tech­ni­schen Eck­da­ten Sie ach­ten müs­sen, dar­um geht es in die­sem Arti­kel.

Wie fin­de ich das rich­ti­ge SSL Zer­ti­fi­kat?
4.9 (98.67%) 45 Bewer­tung

Zer­ti­fi­zie­rungs­stel­len

Es gibt ver­schie­de­ne Zer­ti­fi­zie­rungs­stel­len (auch Cer­ti­fi­ca­ti­on Aut­ho­ri­ties, CA genannt). Grund­sätz­lich kann jede Fir­ma, die tech­nisch dazu in der Lage ist, eine Zer­ti­fi­zie­rungs­stel­le eröff­nen – es gibt kei­ne gesetz­lich vor­ge­ge­be­nen Stan­dards dafür.

Prak­tisch gese­hen benö­tigt eine Zer­ti­fi­zie­rungs­stel­le jedoch das Ver­trau­en der gro­ßen Web­brow­ser und Betriebs­sys­te­me. Des­halb durch­lau­fen die meis­ten Zer­ti­fi­zie­rungs­stel­len in den USA und in Euro­pa jähr­li­che Über­prü­fun­gen, um dann als ver­trau­ens­wür­di­ger „Root“ in Brow­sern und Betriebs­sys­te­men aner­kannt zu wer­den. Mozil­la Fire­fox lis­tet zum Bei­spiel mehr als 180 Root­zer­ti­fi­ka­te von mehr als 80 Orga­ni­sa­tio­nen als ver­trau­ens­wür­dig. Markt­füh­ren­de Zer­ti­fi­zie­rungs­stel­len sind Como­do, Syman­tec und GoDad­dy.

Die Zer­ti­fi­zie­rungs­stel­le Let´s Encrypt (deutsch „Lasst uns ver­schlüs­seln“) stellt einen Son­der­fall dar. Let’s Encrypt bie­tet SSL Zer­ti­fi­ka­te kos­ten­los an. Die Zer­ti­fi­zie­rungs­stel­le ent­stand 2014 durch eine Koope­ra­ti­on meh­re­rer Unter­neh­men und gemein­nüt­zi­ger Orga­ni­sa­tio­nen wie die Elec­tro­nic Fron­tier Foun­da­ti­on, Mozil­la, Cis­co und Aka­mai und ist selbst gemein­nüt­zig. Ziel des Let´s Encrypt-Pro­jekts ist es, ver­schlüs­sel­te Ver­bin­dun­gen im Inter­net zum Nor­mal­fall zu machen. Um die Zer­ti­fi­ka­te kos­ten­los anbie­ten zu kön­nen, wur­den alle Schrit­te der Erstel­lung, Vali­die­rung, Signie­rung, Ein­rich­tung und Erneue­rung von Zer­ti­fi­ka­ten auto­ma­ti­siert.

Je nach Zer­ti­fi­zie­rungs­stel­le und gewünsch­ter Zer­ti­fi­kats­stu­fe wer­den mehr oder weni­ger Infor­ma­tio­nen des Antrag­stel­lers benö­tigt, um die Domain zu veri­fi­zie­ren. Auch die Prei­se für SSL-Zer­ti­fi­ka­te stei­gen mit der Vali­die­rungs­stu­fe. Kos­ten­lo­se Let´s Encrypt-Zer­ti­fi­ka­te sind nur für die ein­fachs­te Vali­die­rungs­stu­fe, die Domain­va­li­die­rung, ver­füg­bar.

Vali­die­rungs­stu­fen im Überblick

SSL-Zer­ti­fi­ka­te ent­hal­ten einen öffent­li­chen Schlüs­sel und bestimm­te Infor­ma­tio­nen zum Antrags­stel­ler. Es gibt ver­schie­de­ne Arten von Zer­ti­fi­ka­ten, die sich vom Umfang der Infor­ma­tio­nen unter­schei­den:

Domain Vali­da­ted (DV) Cer­ti­fi­ca­te (Zer­ti­fi­kat für eine über­prüf­te Domain)

Ein DV-Zer­ti­fi­kat hat die gerings­te Ver­trau­ens­stu­fe und vali­diert den Domain­na­men. Damit wird nur bewie­sen, dass eine Anfra­ge von addresse-im-netz.de wirk­lich von der Domain addresse-im-netz.de kommt, wei­te­re Infor­ma­tio­nen wer­den jedoch nicht abge­fragt. Für die Domain­va­li­die­rung wird eine der vier Kon­takt­per­so­nen der Domain von der Zer­ti­fi­zie­rungs­stel­le per E‑Mail kon­tak­tiert. Die­se Kon­takt­per­son muss bestä­ti­gen, dass das Zer­ti­fi­kat aus­ge­stellt wer­den darf.

  • Owner (Domain­in­ha­ber)
  • Tech‑C (Tech­ni­scher Kon­takt)
  • Admin‑C (Admi­nis­tra­ti­ver Kon­takt)
  • Zone‑C (Zonen Kon­takt)

Die von uns emp­foh­le­nen, kos­ten­lo­sen Let´s Encrypt Zer­ti­fi­ka­te gehö­ren die­ser Vali­die­rungs­stu­fe an. Die­se Zer­ti­fi­ka­te sind geeig­net für alle Web­seiten, Foren und Mail­ser­ver.

Orga­ni­sa­ti­on Vali­da­ted (OV) Cer­ti­fi­ca­te (Zer­ti­fi­kat für eine über­prüf­te Orga­ni­sa­ti­on)

Um ein OV-Zer­ti­fi­kat zu erlan­gen, muss eine Fir­ma nicht nur bewei­sen, dass ihr die Domain gehört, son­dern auch bestä­ti­gen, dass es sich um die genann­te Fir­ma am genann­ten Stand­ort han­delt.

Bei der Vali­die­rung der Orga­ni­sa­ti­on wird also zusätz­lich zur Domain­prü­fung eine Iden­ti­täts­prü­fung vor­ge­nom­men. Zumeist wird ein Han­dels­re­gis­ter­aus­zug ange­for­dert, Bank­da­ten abge­gli­chen und tele­fo­nisch Kon­takt auf­ge­nom­men. Oft­mals grei­fen die Zer­ti­fi­zie­rungs­stel­len hier auf die Tele­fon­num­mer im Tele­fon­buch zurück.

Die­se Zer­ti­fi­ka­te sind geeig­net für Unter­neh­mens­web­sei­ten und Web­shops.

Zer­ti­fi­ka­te mit erwei­ter­ter Vali­die­rung (EV-Zer­ti­fi­ka­te)

Das EV-Zer­ti­fi­kat ist das umfang­reichs­te und teu­ers­te. Bei die­sem Zer­ti­fi­kats­typ wird aktiv geprüft, ob es sich beim Antrag­stel­ler um eine regis­trier­te Orga­ni­sa­ti­on han­delt, die über ein akti­ves Kon­to ver­fügt, mit dem am akti­ven Geschäfts­ver­kehr teil­ge­nom­men wer­den kann. Dazu wird über die Adres­se und Tele­fon­num­mer geprüft, ob es sich nur um eine Schein­fir­ma han­delt. Zuletzt wird noch über­prüft, ob der Antrags­stel­ler des Zer­ti­fi­kats beim Unter­neh­men ange­stellt ist und die Bestel­lung vor­neh­men darf.
Eini­ge Brow­ser hono­rie­ren EV-Zer­ti­fi­ka­te durch eine Anzei­ge des Orga­ni­sa­ti­ons­na­mens neben der Adress­zei­le und die grü­ne Hin­ter­le­gung der kom­plet­ten Adress­zei­le.

Die­se Zer­ti­fi­ka­te sind geeig­net für grö­ße­re Web­por­ta­le, vor allem von Unter­neh­men wie Ban­ken, bei denen höchst sen­si­ble Daten ein­ge­ge­ben wer­den.

Wild­card- und Mul­ti­do­main-Zert­fi­ka­te

Ein­fa­che SSL-Zer­ti­fi­ka­te gel­ten nur für eine Domain (z.B. www.domain.de). Es gibt aller­dings auch Wild­card SSL-Zer­ti­fi­ka­te (auch genannt „Platz­hal­ter-Zer­ti­fi­ka­te“). Die­se gel­ten nicht nur für die Domain, son­dern auch für alle Sub­do­mains (z.B. jobs.domain.de, show.domain.de). Seit Anfang 2018 gibt es kos­ten­lo­se Wild­card Zer­ti­fi­ka­te von Let´s Encrypt. Mehr Infor­ma­tio­nen zu die­sem The­ma erhal­ten Sie in unse­ren Arti­keln „So erstel­len Sie ein Let´s Encrypt Wild­card Zer­ti­fi­kat“ und „Let´s Encrypt Wild­card Teil 2: Renew“.

Mul­ti­do­main SSL-Zer­ti­fi­ka­te, kön­nen für meh­re­re Domains gleich­zei­tig genutzt wer­den. Die­se kom­men zum Ein­satz, wenn Inhal­te einer Web­prä­senz auf meh­re­ren Domains prä­sen­tiert wer­den. Das ist oft bei inter­na­tio­nal agie­ren­den Unter­neh­men der Fall, bei denen län­der­spe­zi­fi­sche Inhal­te mit der jewei­li­gen län­der­spe­zi­fi­schen Domain prä­sen­tiert wer­den (z.B. www.domain.de, www.domain.nl)

Auch bei Wild­card- und Mul­ti­do­main-Zer­ti­fi­ka­ten gibt es die ver­schie­de­nen Vali­die­rungs­stu­fen, deren Prei­se dann ent­spre­chend güns­ti­ger oder teu­rer sind.

Die bes­se­re Ver­schlüs­se­lung

Egal für wel­che Vali­die­rungs­stu­fe Ihres SSL-Zer­ti­fi­ka­tes Sie sich ent­schei­den: Sie soll­ten auf eini­ge tech­ni­sche Eck­da­ten ach­ten.

Das SSL-Zer­ti­fi­kat besteht aus einem öffent­li­chen Schlüs­sel, einem pri­va­ten Schlüs­sel und den Infor­ma­tio­nen zum Zer­ti­fi­kats­in­ha­ber und der Zer­ti­fi­zie­rungs­stel­le. Die Zer­ti­fi­zie­rungs­stel­le signiert den öffent­li­chen Schlüs­sel, um anzu­zei­gen, dass die­ser in den Augen der Zer­ti­fi­zie­rungs­stel­le glaub­wür­dig ist.

Der öffent­li­che Schlüs­sel

Der öffent­li­che Schlüs­sel ist ein kryp­to­gra­fi­scher Schlüs­sel. Er dient der Ver­schlüs­se­lung der über­tra­ge­nen Daten. Der öffent­li­che Schlüs­sel soll­te eine Datei­grö­ße von min­des­tens 4096bit haben. Die Grö­ße des Schlüs­sels ist ein Maß für die Sicher­heit: grö­ße­re Schlüs­sel kön­nen weni­ger schnell „erra­ten“ wer­den.

Der pri­va­te Schlüs­sel

Um die Nach­richt wie­der zu ent­schlüs­seln, wird ein ande­rer Schlüs­sel benö­tigt, der pri­va­te Schlüs­sel. Die­ser pri­va­te Schlüs­sel ist ein­zig auf dem veri­fi­zier­ten Ser­ver fest instal­liert und nur er kann die Nach­rich­ten wie­der ent­schlüs­seln. Für den pri­va­ten Schlüs­sel ist eine Grö­ße von 256bit nach heu­ti­gen Maß­stä­ben aus­rei­chend.

Ver­schlüs­se­lungs­me­cha­nis­men

Einen siche­ren Schlüs­sel für das SSL Zer­ti­fi­kat zu haben ist die eine Sache, das Zer­ti­fi­kat rich­tig ein­zu­set­zen, die ande­re: Mit Hil­fe eines SSL-Zer­ti­fi­ka­tes kön­nen ver­schie­de­ne Ver­schlüs­se­lungs-Mecha­nis­men ein­ge­setzt wer­den. Ver­al­te­te Ver­schlüs­se­lungs-Mecha­nis­men kön­nen geknackt wer­den und müs­sen des­halb in den Ser­ver-Ein­stel­lun­gen aus­ge­schlos­sen wer­den.

Die Abkür­zung SSL steht für Secu­re Sockets Lay­er und ist zum Syn­onym für die Ver­schlüs­se­lung von Online-Daten­strö­men gewor­den. Dabei wird das ori­gi­na­le SSL For­mat nicht mehr ver­wen­det. Es wur­de durch den neue­ren und siche­re­ren TLS (Trans­port Lay­er Secu­ri­ty) Stan­dard ersetzt.
SSLv3.0 war die letz­te SSL Ver­si­on – seit­dem wird der Ver­schlüs­se­lungs­stan­dard als TLSv1.0 wei­ter­ge­führt. Der heu­te (Anfang 2019) sichers­te Ver­schlüs­se­lungs­stan­dard ist TLSv1.2, wäh­rend SSL Ver­sio­nen vor SSLv3 (also SSLv1 und SSLv2) nach der Auf­de­ckung schwer­wie­gen­der Sicher­heits­lü­cken als unsi­cher gel­ten.

Wie läuft die Ver­schlüss­se­lung über SSL ab?

Ver­schlüs­selt wird immer auf die glei­che Art und Wei­se:

  1. Der Cli­ent schickt dem Ser­ver die ers­te Anfra­ge
  2. Der Ser­ver schickt dem Cli­ent das öffent­li­che SSL-Zer­ti­fi­kat
  3. Der Cli­ent über­prüft die Ver­trau­ens­wür­dig­keit des SSL Zer­ti­fi­kats mit Hil­fe des öffent­li­chen Schlüs­sels der Zer­ti­fi­zie­rungs­stel­le
  4. Der Cli­ent ver­schlüs­selt mit dem öffent­li­chen SSL Zer­ti­fi­kat einen zufäl­li­gen Ses­si­onKey und schickt die­sen an den Ser­ver
  5. Der Ser­ver ent­packt den Ses­si­onKey mit dem pri­va­ten Schlüs­sel des SSL Zer­ti­fi­kats
  6. Mit dem Ses­si­onKey, der nun bei­den bekannt ist, kön­nen ver­schlüs­sel­te Daten aus­ge­tauscht wer­den.

Wir glau­ben an den Sinn der ver­schlüs­sel­ten Daten­über­tra­gung und an ein siche­res und frei­es Inter­net und bie­ten Ihnen des­halb kos­ten­lo­se Let´s Encrypt SSL-Zer­ti­fi­ka­te (auch Wild­card-Zer­ti­fi­ka­te) an. Selbst­ver­ständ­lich unter­stüt­zen wir Sie auch bei der siche­ren und pro­fes­sio­nel­len Imple­men­tie­rung der Ver­schlüs­se­lung. Was dabei zu beach­ten ist, und wie Sie den richit­gen Ein­bau Ihrer Ver­schlüs­se­lungs­tech­no­lo­gie über­prü­fen kön­nen, erfah­ren Sie in unse­rem Arti­kel „SSL-Zer­ti­fi­ka­te auch 2019 sicher ein­bin­den und tes­ten“.

 

Schau­en Sie bei unse­ren güns­ti­gen SSL Zer­ti­fi­ka­ten vor­bei, um wei­te­re Infor­ma­tio­nen und Prei­se von sixhop.net zu fin­den.

Die­sen Bei­trag tei­len

Schreibe einen Kommentar