von Sabrina Stein
Veröffentlicht in: Hintergrund

Die Verwendung von Open Source Software bringt zahlreiche Vorteile mit sich (1). Freie Software kommt mittlerweile in den verschiedensten Bereichen zum Einsatz. Das können beispielsweise Server-Andministrationssoftware, Cloud-Lösungen oder verschiedenste Anwendungen zur Mediengestaltung sein. Oft sind die Programme vergleichbar mit ihrem kostenpflichtigen Pendant. Auch für SSL (Secure Socket Layer)-Zertifikate gibt es seit einigen Jahren eine Open Source Lösung – also ein kostenfreies SSL-Zertifikat. Der aktuelle Blogbeitrag beschäftigt sich mit der Frage, in welchen Fällen eine solche Variante sinnvoll ist und in welchen Fällen es Vorteile bringen kann, doch auf eine kostenpflichtige Lösung zurückzugreifen.

Bild von einem Schloss als Symbol der Verschlüsselung

Warum SSL-Verschlüsselung?

Was viele Anbieter einer Website wissen: Sobald Sie dem Nutzer die Möglichkeit geben, auf ihrer Website Daten einzugeben, zu speichern oder diese online zu vermitteln, sollten diese auf eine sichere und verschlüsselte Übertragung der Informationen vertrauen können. Ein SSL-Zertifikat, also die Datenübertragung via https-Protokoll ist hier notwendig, um den Besuchern die notwendige Sicherheit bei der Übertragung ihrer Daten zu bieten. Von ganz besonderer Bedeutung ist dies, wenn private oder sensible Daten wie Bankinformationen, Passwörter, Adressdaten, das Geburtsdatum oder ähnliches übermittelt werden.

Aber auch darüber hinaus ist die SSL-Verschlüsselung bereits zum Standard geworden und wird oft sogar verwendet, wenn eine Website der reinen Vermittlung von Informationen dient oder der Glaubwürdigkeit der sich hier befindenden Informationen eine besondere Bedeutung zukommt. Mit einem Zertifikat „höherer Kategorie“ kann beispielsweise die Identität des Unternehmens verifiziert werden. So weiß der Nutzer, dass die Informationen nicht von „irgendjemandem“ kommen, sondern ein echtes Unternehmen hinter der Website steht.

Mit einem https-Protokoll bzw. der SSL/TLS-Verschlüsselung (TLS steht für Transport Layer Security) haben Website-Anbieter also u.a. die folgenden Vorteile:

  • Bestätigung einer sicheren, also verschlüsselten Datenübertragung
  • mehr Vertrauen der Nutzer, da diese die sichere Datenübertragung erkennen
  • Sie werden als seriöser Anbieter erkannt
  • erhöhte Glaubwürdigkeit Ihrer Informationen

Zusätzlich ist die SSL-Verschlüsselung mittlerweile sogar ein wichtiger Ranking-Faktor bei Google – das heißt, mit einer SSL-verschlüsselten Website ist die Wahrscheinlichkeit, dass diese in den Google-Suchergebnissen weiter oben angezeigt wird, deutlich höher.

Die Arten des SSL-Zertifikats

Es gibt verschiedene Arten von SSL-Zertifikaten. Diese unterscheiden sich nicht nur hinsichtlich der für die Zertifizierung untersuchten Kriterien, sondern auch in der Darstellung der Verschlüsselung auf der jeweiligen Website. Grob unterscheidet man zwischen:

Domain Validated Certificate

Dieses Zertifikat signalisiert dem Nutzer, dass die Domain hinsichtlich der verschlüsselten Datenübertragung überprüft worden ist. Es besteht somit eine gesicherte Verbindung zwischen dem Browser des Anwenders und dem Server, auf dem die Website liegt. Erkennbar ist dieses Zertifikat am Schloss-Symbol in der Adresszeile.

Organization Validated Certificate

Dieses Zertifikat bestätigt, dass nicht nur die Verbindung der Website, sondern auch das Unternehmen oder die Organisation überprüft worden ist. Dem Nutzer wird nicht nur das entsprechende Symbol, sondern auch die Richtigkeit der Unternehmensdaten angezeigt.

Extended Validation

Das Extended Validation-Zertifikat zeichnet sich dadurch aus, dass der Firmenname zusätzlich in der Adresszeile des Browsers in der Farbe Grün angezeigt wird. Daher kann der Nutzer hier sicher sein, dass er sich auf der Seite des oben angezeigten Unternehmens befindet.

Wildcard-Zertifikate

Möchte man außer der Hauptdomain weitere Domains oder Subdomains verschlüsseln, so kann dies - statt die Zertifikate einzeln anzufordern - auch über ein Wildcard-Zertifikat geschehen.

weiteres hierzu: (2)

Kosten und Verantwortung

Selbstverständlich fallen für die SSL-Verschlüsselung für den Webseitenbetreiber oft auch Kosten an, welche je nach Art des Zertifikats bis zu mehreren hundert Euro im Jahr ausmachen können. Dementsprechend können diese durchaus ein Entscheidungskriterium beim Thema SSL-Verschlüsselung sein. Die Verantwortung für die Verschlüsselung „des Internets“ liegt somit auch beim jeweiligen Webseitenbetreiber.

Doch sollte der Nutzer nicht im Allgemeinen auf ein sicheres Internet vertrauen können ohne dass die Entscheidung darüber beim Websiteanbieter liegt oder von dessen Geldbeutel abhängt?

Ein sicheres Internet für alle

Diese Frage hat sich vermutlich auch die Initiative Let‘s Encrypt gestellt. Das gemeinnützige und durch Sponsoring finanzierte Projekt bzw. dessen Mitglieder haben es sich zur Mission gemacht, SSL/TLS-Verschlüsselung und sichere Datenübertragung für jeden zugänglich zu machen und somit auch weiter zu verbreiten.

Im speziellen handelt es sich bei Let‘s Encrypt um eine freie Zertifizierungsstelle. Bei dieser können die Zertifikate kostenfrei beantragt und erneuert werden – eine Überprüfung der Verschlüsselung vorausgesetzt! Weiterhin können die ausgestellten Zertifikate und das zugehörige Ausstellungsprotokoll öffentlich eingesehen und auch adaptiert werden – so wie es für Open Source Software üblich ist. Wie auch andere Open Source Projekte basiert Let‘s Encrypt auf der Arbeit einer großen Community.

Hinter dem Projekt steckt also ein sehr positiver Gedanke und eine tolle Mission. Die Internet Security Research Group (ISRG) stellt den Dienst zur Verfügung. Gesponsert wird dieser unter anderem von Firmen wie Google Chrome, Cisco Systems und die Mozilla Foundation. Auch die Linux Foundation beteiligt sich an dem Projekt.

Jetzt stellt sich natürlich die Frage: „Warum sollte man denn überhaupt noch SSL-Zertifikate kaufen, wenn diese auch kostenfrei zur Verfügung gestellt werden?“

Es gibt jedoch ein paar Punkte, welche man bei der Entscheidung für oder gegen ein kostenfreies SSL-Zertifikat auf keinem Fall ignorieren sollte:


Vertrauen und andere Entscheidungskriterien

Die Art des gewünschten Zertifikats – und dessen Wirkung

Zu beachten ist zum einen, dass nicht alle oben beschriebenen Arten von SSL-Zertikaten über Let‘s Encrypt ausgestellt werden können. So können beispielsweise Organization Validated und Extended Validated Zertifikate hier nicht angefordert werden. Dies bedeutet, dass die Überprüfung sich hauptsächlich auf die Verschlüsselung der Datenübertragung bezieht – nicht aber auf die Verifizierung des Unternehmens. Eine grüne Adresszeile wäre somit beispielsweise nicht möglich. Somit ist auch das Anzeigen der Überprüfung lediglich in Form eines Schloss-Symbols möglich.

Die Art der eingegebenen Daten

Für Webseiten, auf denen sensible und persönliche Daten erfasst und verarbeitet werden, könnte die zuvor beschriebene Variante unter Umständen nicht ausreichen. Grundsätzlich sollte sich die Frage stellen, wie sensibel die Informationen sind, welche auf Ihrer Seite eingegeben bzw. verarbeitet werden. Handelt es sich lediglich um Angaben, welche Sie sozusagen jedem geben würden, der Sie danach fragt? Oder sind es Informationen, welche Sie nicht einmal Ihrem besten Freund geben würden? Nutzer einer Seite für Kochrezepte, welche hier ihr Wunschrezept eingeben, haben ganz andere Sicherheits-Bedürfnisse als die Besucher eines Online-Shops, auf dem Kreditkarten- und Kontodaten eingegeben werden müssen. Dementsprechend wünscht der Nutzer auch eine deutlich erkennbare und gute Verschlüsselung.

Das Vertrauen seitens der Nutzer

Selbst wenn es technisch gesehen bei einfachen SSL-Zertifikaten keinen Unterschied zwischen Open Source und kostenpflichtiger Variante gibt, so könnte es dennoch einen psychologischen Effekt bezüglich der Glaubwürdigkeit geben.

Den Wert freier Software als Websiteanbieter zu erkennen ist nur eine Seite der Medaille – selbstverständlich können Sie als Seitenbetreiber direkt von den Vorteilen profitieren – es stellt sich jedoch die Frage, ob auch die Nutzer der Seite bei sicherheitsrelevanten Themen wie SSL auf Open Source Produkte vertrauen würden. Mit einem Klick auf das Schlosssymbol in der Adresszeile oder schon per Mouse-Over erkennt man die Zertifizierungsstelle, welche das SSL-Zertifikat ausgestellt hat. Somit hat der Nutzer jederzeit die Möglichkeit, sich über die Zertifizierungsstelle zu informieren. Die Tatsache, dass auch immer mehr dubiose Seite, wie beispielsweise Phishing-Seiten über ein Let‘s Encrypt-Zertifikat verfügen (vgl. (3) Golem.de, 28. März 2017, J. Thoma), könnte die Glaubwürdigkeit in die Sicherheit der Seite eventuell schmälern.

Die Garantie

Für den Fall, dass Ihnen ein SSL-Zertifikat von einer Zertifizierungsstelle ausgestellt worden ist – die Verbindung sich aber als unsicher erwiesen hat, sodass Ihre Kunden hierdurch einen Schaden erlitten haben, greift die Garantieabsicherung in einer bestimmten Höhe. Voraussetzung hierfür ist jedoch, dass eine solche existiert. Daher sollten Sie insbesondere, wenn Sie keine reine Informationsseite betreiben – also sobald Ihre Websitebesucher persönliche Daten in die Formularfelder etc. eintragen können – auf SSL-Zertifikate mit Garantieabsicherung zurückgreifen. Let‘s Encrypt verfügen leider nicht über eine entsprechende Garantie.


Fazit

Berücksichtigt man alle genannten Kriterien, so lässt sich schlussfolgern, dass ein Let‘s Encrypt SSL-Zertifikat sich durchaus eignet, um kleinere Webpräsenzen, Informationsseiten und Seiten zu verschlüsseln, auf denen keine sensiblen Informationen eingetragen werden. Hieraus resultieren bessere Chancen, in den Google-Ergebnissen weiter oben angezeigt zu werden.

Ist allerdings insbesondere bei der Übertragung sensibler Daten ein größeres Vertrauen seitens der Nutzer notwendig, so macht ein SSL-Zertifikat „höherer Kategorie“ - also Organization Validation oder Extended Validation absolut Sinn. Hieraus resultiert aufgrund der strengeren Überprüfungsmethoden eine erhöhte Glaubwürdigkeit und wahrgenommene Sicherheit für den Nutzer. Auch hinsichtlich der Garantie ist für Seiten, auf denen sensible Daten verarbeitet werden, ein Zertifikat mit entsprechender Absicherung für den Ernstfall zu empfehlen.


(1) Einige davon erfahren Sie beispielsweise HIER in unserem Blogbeitrag über das Betriebssystem Linux.

(2) Nähere Informationen zu den verschiedenen Arten finden Sie auch auf der folgenden Seite: Informationen zu verschiedenen SSL-Zertifikaten Informationen zu verschiedenen SSL-Zertifikaten

(3) Quelle: https://www.golem.de/news/let-s-encrypt-immer-mehr-phishing-seiten-beantragen-zertifikate-1703-126988.html