Was ist ein
SSL-Zertifikat?

Hier erfahren Sie mehr über das
SSL-Protokoll (Secure Sockets Layer), die
Funktionsweise von SSL-Zertifikaten und
warum sie für die Sicherheit im Internet wesentlich sind.

Was ist ein SSL-Zertifikat und wie funktioniert es?

Mit einem SSL-Zertifikat bieten Sie eine verschlüsselte Verbindung und wecken dadurch Vertrauen.

Unternehmen im Online-Geschäft müssen Kunden und Interessenten ein vertrauenswürdiges Umfeld für ihre Käufe bieten. Durch die sichere Verbindung, die sie ermöglichen, bilden SSL-Zertifikate die Basis dieses Vertrauens. Um die Besucher von der Sicherheit der Verbindung zu überzeugen, zeigen die Browser bestimmte Eigenschaften, von uns „EV-Symbole“ genannt. Dabei handelt es sich zum Beispiel um ein grünes Vorhängeschloss oder ein Markenlogo in der URL-Leiste.

SSL-Zertifikate verfügen über ein Schlüsselpaar: einen öffentlichen und einen privaten Schlüssel. Zusammen ermöglichen die beiden Schlüssel eine verschlüsselte Verbindung. Das Zertifikat enthält außerdem ein „Subject“; das ist die Identität des Eigentümers des Zertifikats bzw. der Website.

Um ein Zertifikat zu erhalten, müssen Sie auf Ihrem Server eine Anforderung zur Zertifikatsignierung (Certificate Signing Request, CSR) stellen. Dabei werden auf Ihrem Server ein privater Schlüssel und ein öffentlicher Schlüssel erzeugt. Die CSR-Datei, die Sie dann an die SSL-Zertifizierungsstelle (Certificate Authority, CA) senden, enthält den öffentlichen Schlüssel. Die CA erzeugt mithilfe der CSR-Datei eine Datenstruktur, die zu Ihrem privaten Schlüssel passt, wozu sie Ihren privaten Schlüssel jedoch nicht benötigt. Dieser bleibt geschützt.

Wenn Sie das SSL-Zertifikat erhalten haben, installieren Sie es auf Ihrem Server. Außerdem installieren Sie ein Zwischenzertifikat, das die Vertrauenswürdigkeit Ihres SSL-Zertifikats belegt, indem es dieses mit dem Root-Zertifikat Ihrer CA verknüpft. Die Vorgehensweise für das Installieren und Testen Ihres Zertifikats unterscheidet sich je nach Server.

Die folgende Grafik illustriert die so genannte Zertifikatskette. Auf diese Weise wird Ihr Serverzertifikat über ein Zwischenzertifikat mit dem Root-Zertifikat der CA (in diesem Fall DigiCert) verknüpft.

Das Wichtigste an einem SSL-Zertifikat ist, dass es von einer vertrauenswürdigen CA wie DigiCert digital signiert ist. Ein Zertifikat kann jeder erzeugen, aber ein Web-Browser vertraut nur Zertifikaten, die von einer Organisation auf seiner Liste vertrauenswürdiger CAs stammen. In jedem Browser ist eine Liste vertrauenswürdiger CAs vorinstalliert, die so genannten „vertrauenswürdigen Stammzertifizierungsstellen“. Um in diese Liste aufgenommen und als Zertifizierungsstelle anerkannt zu werden, muss ein Unternehmen dem von den Browsern festgelegten Sicherheits- und Authentifizierungsstandards entsprechen und sich einem Prüfverfahren unterziehen.

Ein SSL-Zertifikat, das von einer CA für ein Unternehmen und dessen Domain/Website ausgestellt wurde, belegt, dass ein vertrauenswürdiger Dritter die Identität dieses Unternehmens überprüft hat. Da der Browser der CA vertraut, vertraut er nun auch der Identität des Unternehmens. Der Browser teilt dem Anwender mit, dass die Website sicher ist und er dort bei Bedarf auch vertrauliche Informationen eingeben kann.

Was ist Secure Sockets Layer (SSL)?

Secure Sockets Layer (SSL) ist eine standardisierte Sicherheitstechnologie zur Herstellung einer verschlüsselten Verbindung zwischen einem Server und einem Client. Meist handelt es sich dabei um einen Webserver (Website) und einen Browser oder einen E-Mail-Server und einen E-Mail-Client (z. B. Outlook). Inzwischen ist das Konzept besser unter dem Kürzel TLS für Transport Layer Security bekannt, das ist die Nachfolgetechnologie von SSL.

Mithilfe von SSL können sensible Daten wie Kreditkartennummern, Ausweisnummern oder Anmeldedaten sicher übertragen werden. Ohne eine Verschlüsselungsmethode würden Daten zwischen Browsern und Webservern in Klartext übertragen, wodurch sie nicht vertraulich wären. Wenn ein Angreifer alle Daten zwischen einem Browser und einem Webserver abfinge, könnte er diese problemlos mitlesen und für sich verwenden.

Genau genommen ist SSL ein Sicherheitsprotokoll. Protokolle legen fest, wie Algorithmen verwendet werden müssen. In diesem Fall legt das SSL-Protokoll die Variablen der Verschlüsselung für die Verbindung und für die übertragenen Daten fest.

Alle Browser sind in der Lage, mithilfe des SSL-Protokolls mit gesicherten Webservern in Verbindung zu treten. Zur Herstellung einer sicheren Verbindung brauchen der Browser und der Server allerdings ein SSL-Zertifikat.

SSL schützt täglich die Daten von Millionen Menschen im Internet, insbesondere bei Online-Transaktionen, bei denen vertrauliche Informationen übertragen werden. Ein vertrauter Anblick für Internetbenutzer ist dabei das Schlosssymbol, das eine mit SSL gesicherte Website anzeigt, oder auch die grün gefärbte Adresszeile, die auf eine durch SSL gesicherte Website mit Extended Validation hinweist. Die Namen von Websites, die mit SSL gesichert sind, beginnen außerdem mit der Zeichenfolge „https“ statt „http“.

Die Grundzüge von SSL-Zertifikaten und der zugrunde liegenden Technologie hätten wir damit geklärt. Möchten Sie mehr über SSL-Kryptografie wissen?

Wie erzeugt das SSL-Zertifikat eine sichere Verbindung?

Wenn ein Browser auf eine Website zuzugreifen versucht, die mit SSL gesichert ist, stellen der Browser und der Webserver mithilfe des Vorgangs „SSL-Handshake“ eine SSL-Verbindung her (siehe nachfolgende Grafik). Der SSL-Handshake findet blitzschnell statt und ist für den Anwender nicht sichtbar.

Um die SSL-Verbindung herzustellen, werden im Prinzip drei Schlüssel gebraucht: ein öffentlicher, ein privater und ein Sitzungsschlüssel. Inhalte, die mit dem öffentlichen Schlüssel verschlüsselt wurden, können nur mit dem privaten Schlüssel entschlüsselt werden und umgekehrt.
Da das Ver- und Entschlüsseln mit einem privaten und einem öffentlichen Schlüssel viel Rechenleistung in Anspruch nimmt, kommen diese beiden nur während des SSL-Handshakes zum Einsatz, um einen symmetrischen Sitzungsschlüssel zu erzeugen. Nach dem Aufbau der sicheren Verbindung dient der Sitzungsschlüssel zur Verschlüsselung aller übertragenen Daten.

  1. Der Browser stellt die Verbindung zu einem Webserver (Website) her, der mit SSL gesichert ist (https). Der Browser fordert den Server auf, sich zu identifizieren.
  2. Der Server übersendet eine Kopie seines SSL-Zertifikats und seinen öffentlichen Schlüssel.
  3. Der Browser prüft, ob der Zertifikatsstamm auf seiner Liste vertrauenswürdiger CAs steht. Er überprüft außerdem, dass das Zertifikat weder abgelaufen ist noch widerrufen wurde und ob sein Common Name für die betreffende Website gültig ist. Wenn der Browser dem Zertifikat vertraut, erzeugt und verschlüsselt er mithilfe des öffentlichen Schlüssels des Servers einen symmetrischen Sitzungsschlüssel und sendet diesen zurück.
  4. Der Server entschlüsselt den symmetrischen Sitzungsschlüssel mithilfe seines privaten Schlüssels und sendet eine Bestätigung, die ihrerseits mit dem Sitzungsschlüssel verschlüsselt ist. Nun kann die verschlüsselte Sitzung beginnen.
  5. Der Server und der Browser verschlüsseln nun alle übertragenen Daten mit dem Sitzungsschlüssel.

Habe ich ein SSL- oder ein TLS-Zertifikat?

Das SSL-Protokoll wurde schon immer zur Verschlüsselung und Sicherung übertragener Daten genutzt. Immer, wenn eine neue und noch sicherere Version herauskam, wurde nur die Versionsnummer erhöht (z. B. SSLv2.0). Als aber das Update von SSLv3.0 anstand, nannte man die neue Version nicht SSLv4.0, sondern TLSv1.0. Aktuell sind wir bei TLSv1.3.

Da aber SSL immer noch der besser bekannte Begriff ist, sprechen wir bei DigiCert in Bezug auf Zertifikate oder die Sicherung übertragener Daten von TLS/SSL. Wenn Sie ein SSL-Zertifikat von uns kaufen (z. B. Standard-SSL, SSL mit Extended Validation usw.), erhalten Sie eigentlich ein TLS-Zertifikat (RSA oder ECC).

TLS/SSL-Zertifikate im Vergleich

 

Anwendung

Websites mit Informationen, Blogs

Auch Websites, die keine Zahlungen entgegennehmen und keine sensiblen Informationen abfragen, brauchen HTTPS, um Nutzeraktivitäten vertraulich zu behandeln, – sogar Blogs.

Login-Seiten und Formulare

TLS/SSL verschlüsselt und schützt Benutzernamen und Passwörter sowie Formulare für die Eingabe personenbezogener Daten oder zum Hochladen von Bildern oder Dokumenten.

Bezahlseiten

Es ist wahrscheinlicher, dass ein Kunde einen Kauf abschließt, wenn er weiß, dass Ihre Bezahlseite (und seine Kreditkartennummer) sicher ist.

Empfohlener TLS/SSL-Zertifikatstyp

TLS/SSL-Zertifikate mit Unternehmensvalidierung (OV) – die zweithöchste Stufe von Authentizität und Identitätsprüfung

TLS/SSL-Zertifikate mit Unternehmensvalidierung (OV) – die zweithöchste Stufe von Authentizität und Identitätsprüfung

TLS/SSL-Zertifikate mit Extended Validierung (EV) – die höchste Authentizitätsstufe mit der strengsten Identitätsprüfung