SSL-Verschlüsselung

SSL Verschlüsselung

Copyright © Shutterstock/Jakub Krechowicz

1. Was ist SSL-Verschlüsselung?

SSL steht als Abkürzung für Secure-Socket-Layer und bezeichnet ein Verschlüsselungsprotokoll. Durch SSL kommt eine sichere Verbindung zwischen Server und Client zustande. SSL dient in erster Linie der sicheren, verschlüsselten Übertragung sensibler Daten.

Dazu gehören etwa Bankverbindungen oder Kreditkartendaten. Zertifikate bestätigen hierbei die Vertrauenswürdigkeit des Servers. Eine aktuellere Bezeichnung für das Protokoll lautet TLS (Transport-Layer-Security).

2. Definition und Überblick

Begrifflich handelt es sich beim Secure-Socket-Layer um einen Verschlüsselungsstandard beziehungsweise um ein Protokoll zur Datenübertragung online. Das Protokoll dient der Herstellung einer verschlüsselten Verbindung zwischen Client und Server. Auch unverschlüsselte Protokolle, beispielsweise POP3, HTTP, IMAP und SIP können mit diesem Protokoll sicher transportiert werden.

Dank der verschlüsselten Datenübertragung sind die Informationen vor dem unbefugten Zugriff durch Dritte ebenso geschützt wie vor externen Manipulationen und Angriffen. Hierbei wird allerdings nichts anderes als ausschließlich der Übertragungsweg zwischen dem Client und dem Server geschützt.

Gut zu wissen!

SSL kommt als Verschlüsselungsstandard vor allem bei HTTPS-Verbindungen vor. Beim Verbindungsaufbau werden empfindliche Daten über die Verbindung gesendet. Dies trifft insbesondere auf Webseiten zu, die mit Nutzerdaten und Accounts arbeiten. Die Verschlüsselung dient der Sicherheit von Passwörtern und Log-in-Daten. Die Verschlüsselung ist daher Standard beim Online-Banking, beim E-Mail-Verkehr und auch in sozialen Netzwerken. Auch Online-Marketing und der Betrieb von Online-Shops wäre ohne eine solch sichere Verbindung nicht vorstellbar.

3. Funktionsweise und Kryptografie-Arten

Die SSL-Verschlüsselung arbeitet mit einer Reihe verschiedener Methoden und Techniken der Kryptografie. Ursprünglich wurde die Kryptografie als Wissenschaft der Verschlüsselung von Informationen ins Leben gerufen. Heute befasst sich die Kryptografie mit verschiedenen Konzepten sicherer IT-Systemen. Kryptografie legt Standards fest, definiert, konzipiert und konstruiert sichere Informationssysteme. Diese sollen den unbefugten Zugriff sowie die unbefugte Manipulation eines Systems unterbinden.

Im Hinblick auf die Verschlüsselungstechnik wird unterschieden zwischen symmetrischer Verschlüsselung und asymmetrischer Verschlüsselung. Bei der symmetrischen Verschlüsselung kommen für die Kryptifizierung und Entschlüsselung von Daten und Informationen dieselben Schlüssel zum Einsatz. Die asymmetrische Verschlüsselung setzt hingegen auf zwei unterschiedliche Schlüssel für das Verschlüsseln und Entschlüsseln. Hierbei kommen zwei Schlüssel zum Einsatz:

  • Public Key
  • Private Key

Wichtig im Zusammenhang mit Verschlüsselungen ist zudem die Hash-Funktion: diese dient der Erstellung eines digitalen Fingerabdrucks. Mit diesem lässt sich eine mögliche Manipulation übertragener Daten auf dem Weg vom Sender zum Empfänger kontrollieren.

4. Bedeutung des SSL-Zertifikats

Beim digitalen Zertifikat handelt es sich um einen Datensatz zur Bestätigung bestimmter Eigenschaften. Diese beziehen sich auf beteiligte Personen oder Objekte. Kryptografische Methoden dienen der Überprüfung von Integrität und Authentizität der Personen oder Objekte.

Das digitale Zertifikat enthält in erster Linie die Daten, die zu seiner Prüfung vonnöten sind. SSL-Zertifikate beinhalten exakte Angaben über den Verbindungsserver. Auf diese Weise soll insbesondere sichergestellt werden, dass der Betreiber oder Eigentümer einer Internetseite authentisch ist, das heißt, dass er derjenige ist für den er sich ausgibt.

Gerade im E-Commerce und Online-Marketing kommt der Verschlüsselung der Datenübertragung mit SSL-Zertifikat eine besondere Bedeutung zu. Da nur die Übertragung der Daten vom Server zum Client geschützt wird, ist die Identifikation des Anbieters besonders wichtig. Dies ist mit dem SSL-Zertifikat möglich. Zudem trägt ein verifizierbares Zertifikat zum Vertrauen und damit zur Kundengewinnung und -bindung bei.

Tipp

Besucher einer Webseite können in der Adresszeile einer URL Einblick in das Zertifikat erhalten. Meist wird dieses vom Browser auf den ersten Blick als sicher oder unsicher ausgewiesen. Mit einem Klick auf das Zertifikat erhalten Besucher exakte Informationen über Aussteller und Inhaber des Zertifikats. Zertifikatsaussteller überprüfen die Inhaber vor der Ausstellung und stufen ihn anschließend als sicher ein.

Mit dem Zertifikat erhalten Kunden oder Besucher also Rückschluss über die Existenz und Vertrauenswürdigkeit eines Seitenbetreibers, beispielsweise eines Verkäufers. Daneben finden sich weitere Zertifikatsinformationen, wie beispielsweise das Ablaufdatum. Bei SSL-Zertifikaten wird in Versionen mit 128 Bit und solche mit 256 Bit unterschieden, wobei die 256-Version als besonders sicher gilt.

Mit unserem kostenlosen SSL Checker können Sie herausfinden, ob Ihre Website den Sicherheitsstandards entspricht und Sie können Ihre Domain auf bekannte Risiken prüfen. Unser Sicherheits-Check prüft 20 Unterseiten auf Schwachstellen und Anfälligkeiten. So können Sie sehen, wo Handlungsbedarf besteht.

Um eine Überprüfung Ihrer Seite vorzunehmen, geben Sie einfach die URL Ihrer Webseite ein: 

5. EV, DV oder OV?

Zu berücksichtigen ist, dass Zertifikate nicht gleichartig sind, sondern in unterschiedlichen Sicherheitsstufen existieren. Diese ergeben sich aus Validierungsstufen.

5.1. EV-Zertifikat

Einen besonders hohen Sicherheitsstandard gewährleistet das EV-SSL-Zertifikat. Verwendet eine Webseite dieses Zertifikat, so wird die Adressleiste im Falle der meisten Browser teilweise grün ausgegeben. Ein solches Extended-Validation-Zertifikat wird erst nach einer umfassenden und standardisierten Überprüfung einer Internetseite vergeben.

5.2. DV-Zertifikat

Deutlich schwächer ist hingegen ein DV-Zertifikat, das nur die Domain validiert. In diesem Fall erfolgt nur eine Überprüfung der E-Mail-Adresse der Domain. Diese geringe Validierungsstufe bietet somit keinen Schutz vor gängigen Angriffen, beispielsweise Phishing. Zwischen EV-SSL-Zertifikaten und domainvalidierten Zertifikaten gibt es noch andere Validierungsstufen, die beispielsweise die Organisation oder das Unternehmen validieren. Ein DV-Zertifikat ist vor allem für kleinere Websites, Blogs, Foren und Mailserver geeignet.

5.3. OV-Zertifikat

Im Falle eines OV-Zertifikats überprüft die Zertifizierungsstelle sowohl die Domain, als auch die Identität der Organisation, die die Website betreibt. Der Vorteil von OV-SSL-Zertifikaten besteht darin, dass sie den Überblick über mehrere SSL-Zertifikate erleichtern, da sie unter dem Namen eines Unternehmens ausgestellt werden und sogar einer bestimmten Abteilung zugeordnet werden können. Der einzige Nachteil von OV SSL-Zertifikaten ist, dass sie nicht so viele visuelle Indikatoren bieten wie ein EV, und eine längere Ausstellungszeit (ein bis drei Tage) erfordern.

Wichtige Info

Aktuell liegt die Laufzeit eines SSL-Zertifikat bei 2 Jahren. Ab dem 1. September 2020 will Apple will allerdings dies ändern. Das bedeutet, dass wenn man in Safari als sichere Website gelten möchte, muss man das SSL-Zertifikat alle 13 Monate erneuert werden. Ein Grund für dieses Update ist klar: ein geringeres Risiko, da kürzere Laufzeit den Hackern geringere Möglichkeiten für Attacken bietet. Darüber hinaus laufen Zertifikate wegen veralteter Algorithmen schneller ab, was das generelle Sicherheitsniveau erhöht.

In anderen Wortern haben alle SSL-Zertifikate, die nach dem 1. September 2020 ausgestellt werden nur noch eine Laufzeit von 13 Monaten. Unser Online Marketing Tool hilft Ihnen zu überprüfen, ob Ihre Website sicher ist und alle wichtigen Zertifikate aufweist. Zudem bietet unsere Performance Suite Ihnen im Bereich Security folgende Möglichkeiten:

  • Automatisches prüfen, ob Maleware existiert
  • Maleware Check via 3 APIS
  • Prüfung von 108 Security Checks inklusive OWASP Top 10
  • Berechnung eines eigenen Secuirty Scores
  • Unterteilung der Risiken in niedrig, mittel und hoch
  • Bei entdeckten Risiken Benachrichtigung via Push-Benachrichtigung
Security in der Performance Suite

Copyright @ OSG

Kostenlosen Account erstellen

 

In diesem Video wird es noch mal einfach erklärt, wie die SSL-Verschlüsselung funktioniert:

Aktivieren Sie JavaScript um das Video zu sehen.
Video-Link: https://www.youtube.com/watch?v=MWdcCvGg194

 

6. Stellenwert in der Suchmaschinenoptimierung (SEO)

Seit 2014 gehört eine SSL-Verschlüsselung zu den Ranking-Faktoren der SEO von Google. Damit wird das SSL-Protokoll vom reinen Sicherheitsstandard auch zum Faktor der Suchmaschinenoptimierung. Zwar handelt es sich um einen vergleichsweise geringen Ranking-Aspekt, doch macht er sich gerade in Bereichen konkurrenzstarker Inhalte bemerkbar.

Zudem schafft eine unsichere Website kein Vertrauen und macht dem Besucher schnell einen schlechten ersten Eindruck. Die Umstellung auf HTTPS kann also die Verweildauer verbessern und das Pogo Sticking verhindern kann.

Darüber hinaus werden keine Verweisdaten von HTTPS- an HTTP-Seiten weitergegeben. Da heutzutage der größte Teil des Webs über HTTPS läuft, wird die Quelle des meisten Verweisverkehrs (Klicks auf Links von anderen Websites) in den meisten Analyseprogrammen wie Google Analytics als direkt gekennzeichnet. Ein Nachteil davon ist, dass die Daten einer Website dadurch unordentlich und verzerrt werden. Ein weiterer Nachteil ist, dass man so die besten Verweisungsquellen nicht sehen kann  – was eine vergeudete Gelegenheit zum Linkaufbau ist.

Info

HTTPS ist die Voraussetzung für den Einsatz der neuesten Sicherheits- und Web-Performance-Technologie. Mit anderen Worten: Neben der Sicherheit ermöglicht es HTTPS einer Website auch, die Ladezeiten zu verbessern. Und abgesehen von der besseren Nutzererfahrung betrachtet Google die Ladezeiten als einen leichtgewichtigen Ranking-Faktor.

 

Was bedeutet SSL-Verschlüsselung?

Secure Sockets Layer (SSL) ist eine Standard-Sicherheitstechnologie zur Herstellung einer verschlüsselten Verbindung zwischen einem Server und einem Client - typischerweise einem Web-Server (Website) und einem Browser oder einem Mail-Server und einem Mail-Client.

Wozu wird SSL verwendet?

SSL-Zertifikate werden verwendet, um einen verschlüsselten Kanal zwischen dem Client und dem Server zu schaffen. Die Übertragung von Daten wie Kreditkartendetails, Login-Informationen für das Konto, alle anderen sensiblen Informationen müssen verschlüsselt werden, um ein Abhören zu verhindern.

Kann SSL gehackt werden?

Wenn man ein SSL/TLS-Zertifikat installiert hat, bedeutet das nicht, dass man nie gehackt werden kann. Es kann zwar dazu beitragen, bestimmte Arten von Angriffen zu verhindern, aber man wird troztdem Exploits und Schwachstellen über die Webanwendungen ausgesetzt sein, wenn andere kritische Bereiche nicht gut gehärtet sind.

Was ist der Unterschied zwischen SSL und TLS?

SSL bezieht sich auf Secure Sockets Layer, während TLS sich auf Transport Layer Security bezieht. SSL und TLS sind kryptographische Protokolle, die den Datentransfer zwischen Servern, Systemen, Anwendungen und Benutzern authentifizieren. SSL ist ein erstes kryptographisches Protokoll dieser Art. TLS hingegen ist eine aktualisierte Version von SSL.

Benötige ich für die Verwendung von SSL/TLS eine dedizierte IP-Adresse?

Früher war es eine obligatorische Anforderung, für jedes SSL-Zertifikat auf einem Webserver eine dedizierte IP zu haben. Dies ist aufgrund einer Technologie namens Server Name Indication (SNI) nicht mehr der Fall. Eine Hosting-Plattform muss also die SNI ausdrücklich unterstützen.

8. Fazit

Da Unternehmen und Organisationen immer mehr Online-Dienste und -Transaktionen anbieten, wird die Sicherheit im Internet zu einer Priorität und einer Notwendigkeit auch Ihrer Online-Transaktionen. Es geht darum, sensible Informationen – wie z.B. eine Kreditkartennummer – nur bei seriösen und sicheren Online-Geschäften zu übermitteln.


Sie haben noch Fragen?

Kontaktieren Sie uns

Kostenloser SEO-Check der OSG


Weitere Inhalte