von Philine Heß
Veröffentlicht in: Hintergrund

Ganz egal, ob ein kostenloses SSL-Zertifikat in der Open Source Variante oder eine kostenpflichtige SSL-Verschlüsselung – der Zweck ist der gleiche: Alle vertraulichen Informationen auf einer Website werden verschlüsselt und in Form eines Zertifikats zusammengefasst. Wenn das so ist, könnten sich dann nicht alle ein kostenloses SSL Zertifikat erstellen lassen? Ganz so einfach ist es nicht. Einige Sicherheitsaspekte spielen bei der Zertifikat-Wahl eine entscheidende Rolle. Der aktuelle Blogbeitrag beschäftigt sich mit der Frage, in welchen Fällen ein SSL Zertifikat als kostenlose Variante sinnvoll ist und in welchen Fällen es Vorteile bringen kann, doch auf eine kostenpflichtige Lösung zurückzugreifen.

Brücke mit Schlössern als Symbol für SSL Blogbeitrag von Keyweb

Welches SSL Zertifikat für meine Website?

Für all die jenigen, die sich jetzt fragen was ein SSL-Zertifikat genau ist und warum es für die eigene Website so wichtig ist, finden in unserem letzten Blogbeitrag ihre Antworten.

Generell gibt es verschiedene Arten von SSL Zertifikaten. Diese unterscheiden sich wesentlich darin, welches Prüfungsverfahren seitens der Zertifizierungsstelle z.B. GlobalSign durchgeführt wird. Je nachdem welchen Umfang Ihre Webseite beinhaltet, gibt es für die optimale Verschlüsselungsmethode eine entsprechende Sicherheitsstufe:

1. Vertrauen für kleinere Webpräsenzen mit der Domain Validierung

Das Domain Validated Certificate signalisiert den Nutzerinnen und Nutzern, dass die Domain hinsichtlich der verschlüsselten Datenübertragung überprüft worden ist. Es besteht somit eine gesicherte Verbindung zwischen dem Browser der Nutzer:innen und dem Server, auf dem die Website liegt. Erkennbar ist dieses Zertifikat am Schloss-Symbol in der Adresszeile. Diese Domain-Validation ist die einfachste und schnellste Art der Validierung durch GlobalSign.

2. Seriosität der Unternehmensseite mit der Organisation Validierung

Das Organization Validated Certificate bestätigt, dass nicht nur die Verbindung der Website, sondern auch das Unternehmen oder die Organisation überprüft worden ist. Den Nutzerinnen und Nutzern wird nicht nur das Symbol, sondern auch die Richtigkeit der Unternehmensdaten in der Adresszeile angezeigt. Die Validierungsmethode verläuft sozusagen strenger als bei dem Domain Validated Certificate. Antragsstellende müssen die Existenz ihrer Organisation nachweisen. Hierbei werden zusätzlich weitere externe Dokumente wie z.B. Handelsregisterauszug zur Prüfung herangezogen.

3. Höchste Glaubwürdigkeit mit der Extended Validation

Die Extended Validation zeichnet sich dadurch aus, dass es die strengste Überprüfungsmethode erfordert. Nach festgelegten Kriterien wird die Identität des Unternehmens auf den Prüfstand gestellt und angeforderte Dokumente überprüft. Website-Besucher:innen können sich durch das in der Adresszeile hinterlegte Zertifikat von der verifizierten Glaubwürdigkeit der Website überzeugen lassen. Erkennen lässt sich dies mit einem Klick auf das Schloss-Symbol in der Adresszeile durch die Kennzeichnung „Ausgestellt für: Name Ihres Unternehmens“ oder direkt im Zertifikat.

4. Beliebig viele Subdomains mit Wildcard Zertifikaten

Wenn Sie ein SSL Zertifikat bestellen, wird grundsätzlich nur die Hauptdomain geschützt. Um weitere Domains oder Subdomains verschlüsseln zu lassen kommt das Wildcard Zertifikat zum Einsatz. Das könnte für all diejenigen eine Lösung bieten, die mehrere Websites oder Seiten verwalten, die auf der gleichen Domain liegen.

Selbstverständlich fallen für die SSL Verschlüsselung oft auch Kosten an, die je nach der Zertifikat Validierung bis zu mehreren hundert Euro im Jahr ausmachen können. Die Verantwortung für die SSL Verschlüsselung der Website liegt somit bei den jeweiligen Website-Betreibenden.

Doch sollten Nutzer:innen nicht im Allgemeinen auf ein sicheres Internet vertrauen können, ohne dass die Entscheidung darüber bei den Website-Betreibenden liegt oder von deren Geldbeutel abhängt?

Die Lösung:

5. Kostenlose SSL-Zertifikate - ein sicheres Internet mit Let's Encrypt

Diese Frage hat sich vermutlich auch die Initiative Let's Encrypt gestellt. Das gemeinnützige und durch Sponsoring finanzierte Projekt bzw. dessen Mitglieder haben es sich zur Mission gemacht, SSL/TLS-Verschlüsselung und sichere Datenübertragung für jeden zugänglich zu machen und somit auch weiter zu verbreiten.

Im Speziellen handelt es sich bei Let's Encrypt um eine freie Zertifizierungsstelle. Bei dieser können die SSL Zertifikate kostenlos beantragt und erneuert werden – eine Überprüfung der Verschlüsselung vorausgesetzt! Weiterhin können die ausgestellten https Zertifikate und das zugehörige Ausstellungsprotokoll öffentlich eingesehen und auch adaptiert werden – so wie es für Open-Source-Software üblich ist.

Hinter dem Projekt steckt also ein sehr positiver Gedanke für all diejenigen, die nach einer Alternative zu den kostenpflichtigen Varianten suchen. Die Internet Security Research Group (ISRG) stellt den Let's Encrypt Dienst zur Verfügung. Gesponsert wird dieser unter anderem von Firmen wie Google Chrome, Cisco Systems und die Mozilla Foundation. Auch die Linux Foundation beteiligt sich an dem Projekt.

Jetzt stellt sich natürlich die Frage: „Warum sollte man denn überhaupt noch SSL Zertifikate kaufen, wenn SSL Zertifikate auch kostenlos zur Verfügung gestellt werden?“

Es gibt ein paar Punkte, welche bei der Entscheidung für ein kostenloses SSL-Zertifikat zu berücksichtigen sind.

Wann eignet sich ein kostenloses SSL Zertifikat für meine Website?

  • Wenn Ihnen eine einfache Domain Validierung genügt

Über ein kostenloses Let's Encrypt Zertifikat können nicht alle oben beschriebenen Validierungsarten von SSL Zertifikaten ausgestellt werden. Wie zum Beispiel das Organization Validated – und das Extended Validated Zertifikat. Dass heißt, dass sich die Überprüfung hauptsächlich auf die Verschlüsselung der Datenübertragung bezieht – nicht aber auf die Verifizierung des Unternehmens oder der Organisation.

  • Wenn es um Informationen geht, die für die Öffentlichkeit bestimmt sind

Für Webseiten, auf denen sensible und persönliche Daten erfasst und verarbeitet werden, könnte die zuvor beschriebene Variante unter Umständen nicht ausreichen. Grundsätzlich sollten Sie sich die Frage stellen, wie sensibel die Informationen sind, welche auf Ihrer Seite eingegeben bzw. verarbeitet werden. Handelt es sich lediglich um Angaben, welche Sie sozusagen jedem geben würden, der Sie danach fragt? Oder sind es Informationen, welche Sie nicht einmal Ihrem besten Freund geben würden? Nutzer:innen einer Seite für Kochrezepte, welche ihre Wunschrezepte eingeben, haben ganz andere Sicherheits-Bedürfnisse als die Besucher:innen eines Online-Shops, auf dem Kreditkarten- und Kontodaten eingegeben werden müssen. Dementsprechend wünschen sich die Besuchenden auch eine deutlich erkennbare und gute Verschlüsselung.

  • Wenn Ihre Nutzer:innen in Open Source vertrauen

Selbst wenn es technisch gesehen bei einfachen SSL Zertifikaten keinen Unterschied zwischen kostenloser und kostenpflichtiger Variante gibt, so könnte es dennoch einen psychologischen Effekt bezüglich der Glaubwürdigkeit geben.

Den Wert freier Software zu erkennen ist nur eine Seite der Medaille – selbstverständlich können alle Website-Betreiber:innen direkt von den Vorteilen profitieren. Es stellt sich jedoch die Frage, ob auch die Nutzer:innen der Seite bei sicherheitsrelevanten Themen wie SSL auf Open Source Produkte vertrauen würden. Mit einem Klick auf das Schlosssymbol in der Adresszeile oder schon per Mouse-Over erkennt man die Zertifizierungsstelle, welche das SSL-Zertifikat ausgestellt hat. Somit hat der Nutzer jederzeit die Möglichkeit, sich über die Zertifizierungsstelle zu informieren. Die Tatsache, dass auch immer mehr dubiose Seite, wie beispielsweise Phishing-Seiten über ein Let's Encrypt-Zertifikat verfügen (vgl. (1) Golem.de, 28. März 2017, J. Thoma), könnte die Glaubwürdigkeit in die Sicherheit der Seite eventuell schmälern.

  • Wenn Sie auf eine Garantieabsicherung verzichten können

Für den Fall, dass Ihnen ein SSL-Zertifikat von einer Zertifizierungsstelle ausgestellt worden ist – die Verbindung sich aber als unsicher erwiesen hat, sodass Ihre Kundschaft hierdurch einen Schaden erlitten hat, greift die Garantieabsicherung in einer bestimmten Höhe. Voraussetzung hierfür ist jedoch, dass eine solche existiert. Daher sollten Sie insbesondere, wenn Sie keine reine Informationsseite betreiben auf SSL Zertifikate mit Garantieabsicherung zurückgreifen. Kostenlose SSL Zertifikate von Let's Encrypt verfügen leider nicht über eine entsprechende Garantie.

Berücksichtigt man alle genannten Kriterien, so lässt sich schlussfolgern, dass ein Let's Encrypt SSL-Zertifikat sich durchaus eignet, um kleinere Webpräsenzen, Informationsseiten und Seiten zu verschlüsseln, auf denen keine sensiblen Informationen eingetragen werden.

Wann sollte ich mich für ein kostenpflichtiges SSL-Zertifikat entscheiden?

Ist bei der Übertragung sensibler Daten ein größeres Vertrauen seitens der Nutzer:innen notwendig, so macht ein SSL-Zertifikat „höherer Kategorie“ - also Organization Validation oder Extended Validation absolut Sinn. Aufgrund der strengeren Überprüfungsmethoden bewirken diese Validierungsarten von SSL eine erhöhte Glaubwürdigkeit und wahrgenommene Sicherheit für die Nutzer:innen. Auch hinsichtlich der Garantie ist für Seiten, auf denen sensible Daten verarbeitet werden, ein SSL Zertifikat mit entsprechender Absicherung für den Ernstfall zu empfehlen.

Sie sind sich noch nicht so ganz sicher, welches Sicherheitslevel für Ihre Webseite das Richtige ist? Über unsere SSL- Seite bekommen Sie einen Überblick zu den verschiedenen Möglichkeiten der SSL-Zertifikate. Falls Sie dann noch Fragen haben, kontaktieren Sie uns gern und wir schauen uns Ihren Bedarf einmal genauer an.

____

Quellen:

https://www.golem.de/news/let-s-encrypt-immer-mehr-phishing-seiten-beantragen-zertifikate-1703-126988.html
https://www.globalsign.com/de-de/ssl-information-center
https://www.keyweb.de/de/hosting/ssl-zertifikate