Bedeutung des SSL-Zertifikats
SSL-Zertifikate dienen dazu, einen sicheren, verschlüsselten Kanal zwischen dem Client und dem Server herzustellen. Bestimmte Informationen, wie Kreditkartendaten, Daten für den Kontozugang und andere sensible Informationen, müssen verschlüsselt übertragen werden, um ein Durchsickern der Daten zu verhindern.
Mit einem SSL-Zertifikat werden unsere Daten verschlüsselt, bevor sie über das Internet übertragen werden. Die verschlüsselten Daten können nur vom Zielserver entschlüsselt werden. Dadurch wird sichergestellt, dass die auf der Website eingegebenen Daten nicht gestohlen werden können.
- Google hat angekündigt, dass Websites mit SSL-Zertifikat in ihrer Suchmaschine einen höheren Rang einnehmen. Dies ist ein weiterer Vorteil, der für die Verwendung von SSL spricht. Die Verwendung des https-Protokolls ist mittlerweile eine Grundvoraussetzung geworden, Browser kennzeichnen Seiten ohne SSL als unsicher, einige lassen ohne besondere Genehmigung keinen Zugriff auf Seiten ohne Zertifikat zu.
Das Zertifikat selbst enthält base64-codierte Daten über die Ausstellung, außerdem den für die Verschlüsselung erforderlichen öffentlichen Schlüssel, die Authentifizierung der digitalen Signatur und die mit dem privaten Schlüssel erstellte digitale Signatur.
Das SSL-Zertifikat muss auf dem Server gespeichert werden. Bei Websites, deren Sicherheit durch ein SSL-Zertifikat garantiert wird, beginnt die URL mit dem Präfix https://. Je nach Art der Authentifizierung kann der Browser die Existenz einer sicheren Verbindung mit einem Schloss-Symbol oder dem Namen der Organisation anzeigen.
Für die bei Rackhost genutzten Webhostings bieten wir ein kostenloses SSL-Zertifikat an, das Sie nur mit Hilfe unserer Anleitung installieren müssen.
Arten von SSL-Zertifikaten
SSL-Zertifikate lassen sich in drei Authentifizierungsgruppen einteilen:
Domain-Authentifizierungszertifikat
Der Antragsteller muss nachweisen, dass er über die Domain verfügt. Das ausgestellte Zertifikat enthält den Domainnamen, für den das Zertifikat beantragt wurde, sowie den Antrag auf Ausstellung des Zertifikats.
Wir bei Rackhost können unseren Kund:innen solche SSL-Zertifikate für unsere Hosting-Pakete anbieten. Wenn Sie auf der Hauptseite von Rackhost auf das Schloss klicken, können Sie den Zertifizierer sehen, der in unserem Fall Let’s Encrypt ist.
Organisationszertifikat
Der Antragsteller muss nachweisen, dass sein Unternehmen registriert ist und rechtmäßig Geschäfte tätigt, um die Domain-Authentifizierung zu bestehen. Das ausgestellte Zertifikat enthält den Namen der Domain und der Organisation, die das Zertifikat beantragt hat.
Wenn wir zum Beispiel auf der Website der Erste Bank oder Raiffeisen Bank auf das Schloss-Symbol in der Adresszeile klicken, wird dort der Name des Unternehmens angezeigt – etwa Erste Bank der österreichischen Sparkassen AG. Wenn wir also unsicher sind, ob wir uns auf einer Phishing-Seite befinden, die sich als unsere Bank ausgibt, lohnt es sich, die Webadresse (URL) genau zu überprüfen und auf das Schloss-Symbol zu klicken, um zu sehen, ob tatsächlich der richtige Unternehmensname angezeigt wird. So können wir sicherstellen, dass wir auf der echten, gesicherten Seite der Bank sind.
Erweitertes Zertifikat
Dieses Zertifikat enthält die oben beschriebenen Authentifizierungsanforderungen sowie weitere Bedingungen, beispielsweise die Vorlage von Dokumenten, die die Daten und Aktivitäten des Unternehmens bestätigen. Das ausgestellte Zertifikat enthält den Namen der Domain und der antragstellenden Organisation. Früher wurde diese Art von Zertifikat als grüner Balken in der URL angezeigt, in dem der Name des Unternehmens zu sehen war. Da Browser diese Anzeige nicht mehr unterstützen, können wir nur noch sehen, ob die Seite über ein solches erweitertes Zertifikat verfügt, wenn wir im Zertifikat auf „Weitere Informationen“ klicken. Auf der angezeigten Seite klicken Sie dann auf „Zertifikat anzeigen“:
Hier sehen wir, dass es sich um ein erweitertes Zertifikat handelt, was im Fall von Erste Bank oder Raiffeisen Bank der Fall ist.
SSL-Zertifikat – Technischer Überblick
Glossar:
Asymmetrische Kryptografie – „Geheimschrift“, die separate Schlüssel zum Erstellen und Entschlüsseln verwendet.
Verschlüsselungssatz – Schlüsselaustausch-, Authentifizierungs-, Verschlüsselungs- und Nachrichtenauthentifizierungscode (MAC)-Algorithmen, die in SSL- und TLS-Protokollen verwendet werden.
Handshake – Wird in SSL/TLS-Protokollen zu Sicherheitszwecken verwendet.
Schlüsselaustausch – Bezeichnet im Zusammenhang mit SSL/TLS den Prozess, bei dem Client und Server für einen bestimmten Zeitraum sicher einen vorläufigen Schlüssel erstellen.
Master-Schlüssel – Dient zur Generierung von Verschlüsselungsschlüsseln sowie zur Erstellung von MAC-Schlüsseln und Initialisierungsvektoren.
Message Authentication Code (MAC) – Einweg-Hash-Funktion für einen Schlüssel und eine Nachricht.
Pre-Master-Schlüssel – Hauptkomponente, die zur Erstellung des Hauptschlüssels verwendet wird.
Symmetrische Kryptografie – Verschlüsselung, bei der derselbe Schlüssel zum Verschlüsseln und Entschlüsseln verwendet wird.
Symmetrische und asymmetrische Kryptografie
Bei SSL- und TLS-Protokollen unterscheiden wir zwischen zwei Arten der Kryptografie: der symmetrischen und der asymmetrischen.
Die symmetrische Kryptografie (auch als Massenkryptografie bezeichnet) verwendet für die Verschlüsselung denselben Schlüssel wie für die Entschlüsselung. Bei SSL/TLS wird die symmetrische Verschlüsselung in der Regel zur Verschlüsselung von Anwendungsdaten verwendet.
Einige Beispiele für symmetrische Verschlüsselungen: AES, RC4, DES
Bei der asymmetrischen Kryptografie (auch als Public-Key-Kryptografie bezeichnet) wird für die Verschlüsselung ein anderer Schlüssel verwendet als für die Entschlüsselung. Der öffentliche Schlüssel wird in einer CSR und damit auch im SSL-Zertifikat gespeichert. Er wird zur Verschlüsselung und zur Signaturauthentifizierung verwendet. Der private Schlüssel – der sich meist auf dem Server befindet – kann je nach dem bei der „Handschlagphase” festgelegten Verschlüsselungssatz zum Dekodieren des Vor-Hauptschlüssels verwendet werden, damit der Hauptschlüssel erstellt werden kann, oder zum Signieren der für die Erstellung des Hauptschlüssels erforderlichen Parameter. Vereinfacht gesagt, gewährleistet die asymmetrische Verschlüsselung im Kontext der SSL/TLS-Protokolle die Ausführung der symmetrischen Verschlüsselung für beide Seiten (Client/Server).
Beispiele für asymmetrische Verschlüsselungssysteme: RSA, DHE, ECDHE
Unsere Anleitung zur Aktivierung des SSL-Zertifikats finden Sie hier.