Eine Webseite ist heute schon bald Pflicht für jede Firma.
Ein Spruch der mir dazu einfällt ist: Ist die Firma noch so klein ist bringt Sie nichts ohne Webseite ein. Eine eigene Firmenwebseite ist zwar keine Pflicht und wird es auch nicht werden doch als Webseiteninhaber hat Jeder seine Pflichten die der Gesetzgeber auferlegt zu erfüllen. Eine Webseite zu betreiben ist jenachdem mit Kosten und Aufwand verbunden. Klar das sich der Aufwand auch lohnen soll. Deswegen gibt es da einiges zu beachten, in diesem Beitrag geht es um SSL.
Sichere Website wozu? Was ist eigentlich ein SSL-Zertifikat?
Erfahren Sie, wie Sie einen sicheren Internetauftritt erkennen und warum Sie Ihre eigene Website mit einem SSL-Zertifikat schützen sollten.
Die gängigen Web-Browser warnen bereits seit längerem beim Aufruf von nicht verschlüsselten Websites und stufen diese als „nicht sichere Verbindungen“ ein. Gleichzeitig werden verschlüsselte Seiten von Suchmaschinen besser bewertet. Es lohnt sich also, eine Website mit einem Sicherheitszertifikat zu verschlüsseln, denn ohne SSL wird man nicht mehr gefunden.
SSL Zertifikate sind auch wegen der Europäische Datenschutzverordnung (DSGVO) zu empfehlen um nicht gegen die DSGVO zu verstossen. Eine Website muss laut DSGVO verschlüsselt sein wenn auf der Website persönliche Daten erhoben werden. Eine SSL Verschlüsselung muss laut DSVGO soch auf jeder Webseite sein wenn sich ein einfaches Kontaktformular auf der Website befindet.
Keinesfalls sollten Sie nun Ihr Kontaktformular ausblenden. Vielmehr sollten alle Webseiten mit einem SSL-Sicherheitszertifikat ausgestattet werden und so dem heutigen Standard im Web entsprechen. Denn nur mit einem SSL Zertifikat werden ihre Websites auch von den Suchmaschinen an forderer Stelle bei den Suchanfragen gelistet. Mit anderen Worten ohne SSL keine Besucher! Die gute Nachricht: während es bisher recht aufwändig und auch kostspielig war, ein SSL-Zertifikat einzurichten, gibt es kostengünstige und auch kostenfreie Freeware-Zertifikate.
Doch was ist eigentlich ein SSL-Zertifikat, woran erkenne ich verschlüsselte Seiten und wie wird meine eigene Website sicher? Hier finden Sie die wichtigsten Informationen im Überblick.
Warum ist eine SSL Verschlüsselung für Websites überhaupt nötig?
Eine unverschlüsselte Datenübertragung im Internet könnte abgefangen, mitgelesen oder im schlimmsten Fall auch manipuliert werden. Deswegen hatten Banken und andere sensible Webseiten immer schon eine verschlüsselte Website. Seit Inkrafttreten der DSVGO bracht quasi jede Webseite eine SSL Verschlüsselung ! Verfügt die Website über ein gültiges Sicherheitszertifikat, entsteht eine verschlüsselte Verbindung und bei Datenübertragung wird durch die Verschlüsselung dafür gesorgt das die gesendeten Daten nicht mitgelesen oder geändert werden. Insbesondere, wenn über eine Website sensible Daten abgefragt werden wie bei einem Bankhaus, sollte dies ausschließlich über verschlüsselte Seiten erfolgen, was auch vor Inkrafttreten der DVGO immer der Fall war. Das jede Webseite zu SSL Verschlüsselung gezwungen wird halte ich persönlich für total überzogen, denn wichtige und senible Daten werden bei den meisten Webseiten garnicht abgefragt und auch sonst nicht übertragen. Spätestens nach Einführung der DSVGO darf in der EU jede Art von personenbezogenen Daten auf Websites nur noch verschlüsselt übertragen werden.
Was ist ein SSL-Zertifikat?
Für die Verschlüsselung der Datenübertragung beim Aufruf einer Website sorgt ein sogenanntes SSL-Zertifikat. SSL steht für „Secure Sockets Layer“ SSL-Verschlüsselung ist gleich zu setzen mit dem TLS-Protokoll. TLS steht für „Transport Layer Security“, wörtlich übersetzt „Transport-Ebenen-Sicherheit“. Tatsächlich kann man sich die SSL oder TLS Zertifikate wie „Transportebenen“ vorstellen, über die der Datenaustausch stattfindet.
Verfügt eine Website über ein gültiges SSL- bzw. TLS-Sicherheitszertifikat, wird dieses beim Aufruf der Seite an den Browser übermittelt. Dieser überprüft, ob das Zertifikat für diese Seite auch wirklich gültig ist. Ist dies der Fall, entsteht eine verschlüsselte Verbindung zwischen dem Server mit der Website und dem Rechner, der die Seite aufruft. Die Seite wird dem Besucher mit dem Symbol eines grünen Schloß als sicher angezeigt.
Welche Arten von SSL-Zertifikaten gibt es?
Ein SSL-Zertifikat wird immer für eine bestimmt Domain (zum Beispiel www.koelner-ateam.de) ausgestellt. Dabei wird auf unterschiedliche Arten geprüft, ob derjenige, der das Zertifikat beantragt, auch wirklich der Eigentümer der Domain ist oder als Dienstleister berechtigt ist, ein Zertifikat für diese Domain einzurichten. Würde diese Prüfung nicht stattfinden, könnten sich Kriminelle ein Zertifikat für eine fremde Domain einrichten und so die verschlüsselten Daten mitlesen.
Je aufwändiger also die Überprüfung (Validierung), ob Domaininhaber und Zertifikatsbesitzer dieselbe Person oder dasselbe Unternehmen sind, umso sicherer ist ein Zertifikat. Für einen ersten Überblick werden hier die zwei wichtigsten Varianten vorgestellt. Dazwischen gibt es zahlreiche Abstufungen:
1. Individuelle, kostenpflichtige Zertifikate (Organisationsvalidierte Zertifikate)
Diese Zertifikate werden speziell für den Domaininhaber erstellt. Dessen Daten wie Name des Unternehmens und Firmensitz sind dann im Zertifikat enthalten. Beim Kauf des Zertifikats wird mehrfach überprüft, ob die Domain auch dem Käufer gehört, zum Beispiel durch einen Telefonanruf der Zertifizierungsstelle, Zuschicken von Briefpapier oder Visitenkarten oder mindestens einer E-Mail, die bestätigt werden muss. Diese Zertifikate sind sehr sicher und für Bankingportale oder große Webshops erforderlich.
2. Kostenfreie, domainvalidierte Zertifikate
Bekanntester Anbieter ist hier derzeit Let´s Encrypt (übersetzt so viel wie „Lasst uns verschlüsseln“). Die kostenfreien SSL Zertifikate werden von der Internet Security Research Group (ISRG) ausgestellt, einer gemeinnützigen Nonprofit-Organisation mit Sitz in San Francisco. Die Erstellung, Validierung und Verlängerung der Zertifikate erfolgt automatisiert: Ein von Let´s Encrypt erstellter SSL Schlüssel wird auf dem Webserver oder bei der Domain abgelegt und über ein sicheres, mehrschichtiges System abgefragt. Passt die verschlüsselte Antwort des Servers zum ursprünglich erstellen Schlüssel von Let´s Encrypt ist bestätigt, dass der Antragsteller des Zertifikats den Webserver bzw. die Domain kontrolliert. Dieses automatisierte Vorgehen hat die Verschlüsselung von Websites enorm vereinfacht und weltweit vorangetrieben.
Wie lange ist ein SSL-Zertifikat gültig?
Ausschlaggebend für die Sicherheit eines SSL Zertifikats ist auch die Laufzeit. Ähnlich wie man ein Passwort regelmäßig ändern sollte, müssen auch SSL-Zertifikate regelmäßig erneuert werden. Die gängige Laufzeit wurde für individuelle, kostenpflichtige Zertifikate von 48 Monaten auf 12 Monate verkürzt. Danach ist eine erneute Validierung nötig. Kostenfreie, domainvalidierte Zertifikate laufen sogar nur 3 Monate, was aktuell von Spezialisten als deutlicher Sicherheitsvorteil gewertet wird, auch wenn die Validierung und Erneuerung der Zertifikate automatisiert erfolgt.
Woran erkenne ich, ob eine Seite verschlüsselt ist?
Ob eine Seite SSL-verschlüsselt ist, erkennen Sie beim Aufruf der Seite direkt an dem grünen Schloss-Symbol vor der Website-Adresse. Die Verbindung wird als sicher eingestuft. Bei organisationsvalidierten Zertifikaten wird zusätzlich der Eigentümer des Zertifikats direkt mit angegeben.
Durch Klick auf das Schloss werden Ihnen weitere Informationen zur Sicherheit der Verbindung und zum Zertifikat angezeigt. Hier erfahren Sie, wer das Zertifikat ausgestellt hat und wie lange es gültig ist.
Außerdem erkennen Sie verschlüsselte Seiten auch immer am „https://“ (statt http://) vor der Domain. Das S steht hier für „secure“, also „sicher“.
Sind alle SSL-verschlüsselten Seiten automatisch sicher?
Auch wenn die Verschlüsselung von Websites die Datenübertragung im Internet sicherer macht, dürfen Sie dennoch nicht allen Seiten mit SSL- bzw. TLS-Zertifikat blind vertrauen. Denn natürlich versuchen Kriminelle ihre gefälschten Websites ebenfalls mit Zertifikaten zu versehen, um seriös zu erscheinen. Achten Sie also bei der Übertragung von Daten (insbesondere bei Bankdaten) darauf, dass es sich im die exakt richtige Domain handelt und diese mit einem gültigen Zertifikat (grünes Schloss) versehen ist. Bei Banken und großen Shops mit Online-Bezahlmöglichkeiten ist in der Regel ein organisationsvalidiertes Zertifikat im Einsatz, das heißt der Name des Unternehmens wird direkt in der Adresszeile des Browsers angezeigt.
Wie bekomme ich ein Zertifikat für meine Website?
Fragen Sie zunächst bei Ihrem Webhoster oder Website-Provider nach. Viele Webhoster und Website Provider bieten die Einrichtung von SSL Zertifikaten mit an. Leider bieten die großen Webhoster nur ein SSL Zertifikat kostenlos an, besitzt ein Webseitenbetreiber viele Domains muss für ca 3 Euro je Monat je Domain bezahlt werden! Bei entsprechenden Kenntnissen können Sie als Webmaster natürlich auch selbst ein Zertifikat installieren. Hier können Sie auf kostenlose Zertifikate von Let´s Encrypt zurückgreifen. Einige kundenorientierte Webhoster bieten Let´s Encrypt SSL Zerfikate kostenlos, siehe die die Liste auf : https://www.webhosterwissen.de/webhosting/kostenlose-ssl-zertifikate-webhosting-vergleich/ Oder Sie kaufen ein für Sie persönlich ausgestelltes Zertifikat bei einem entsprechenden Anbieter hierzu würde ich mit einer Suchmaschine nach „SSL Zertifikat kaufen“ suchen das ist in der Regel billiger wie bei den großen Webhostern.