Das ultimative Handbuch

Was sind SSL, TLS und HTTPS?

Was ist ein SSL-Zertifikat?

SSL steht für „Secure Sockets Layer“ und ist die Standardtechnologie für die Absicherung von Internetverbindungen und den Schutz sensibler Daten, die zwischen zwei Systemen übertragen werden. So wird verhindert, dass Kriminelle übertragene Informationen, einschließlich potenzieller persönlicher Daten, lesen und verändern. Bei diesen beiden Systemen kann es sich um einen Server und einen Client (z. B. eine Shopping-Website und einen Browser) oder um eine Übertragung von einem Server auf einen anderen (z. B. eine Anwendung mit personenbezogenen Daten oder Gehaltsinformationen) handeln.

SSL stellt sicher, dass zwischen Benutzern und Websites oder zwischen zwei Systemen übertragene Daten nicht gelesen werden können. Dazu werden Verschlüsselungsalgorithmen verwendet, um Daten während der Übertragung zu kodieren und so zu verhindern, dass Hacker die Daten lesen können, während diese über die Verbindung gesendet werden. Diese Informationen können sensible oder persönliche Daten wie beispielsweise Kreditkartennummern und andere Finanzinformationen oder Namen und Adressen beinhalten.

TLS (Transport Layer Security) ist lediglich eine aktualisierte Version von SSL, die höhere Sicherheit bietet. Wir bezeichnen unsere Sicherheitszertifikate weiterhin als SSL, da dieser Begriff am geläufigsten ist. Wenn Sie jedoch SSL von DigiCert erwerben, kaufen Sie tatsächlich die aktuellsten TLS-Zertifikate mit der Option der ECC-, RSA- oder DSA-Verschlüsselung.

HTTPS (Hyper Text Transfer Protocol Secure) wird in der URL angezeigt, wenn eine Website durch ein SSL-Zertifikat abgesichert ist. Angaben zum Zertifikat, wie die ausstellende Zertifizierungsstelle und der Firmenname des Website-Inhabers, können durch Klicken auf das in der Browser-Leiste angezeigte Vorhängeschloss angezeigt werden.

SSL-Preise vergleichen

Einführung in SSL

Erfahren Sie, wie Sie mit SSL Ihre Online-Informationen schützen und das Vertrauen von Besuchern in Websites stärken können.

Für Online-Unternehmen oder Websites, die Zahlungen mit Kredit- oder EC-Karte akzeptieren oder persönliche oder sensible Informationen wie etwa Namen und Adresse übertragen, ist ein SSL-Zertifikat zur Website-Sicherheit unabdingbar. Das Zertifikat spielt eine bedeutende Rolle dabei, Websites sicher zu gestalten und Kunden zu schützen. Es ist jedoch ebenfalls wichtig, dass es Online-Seiten den Anschein von Sicherheit verleiht.

Ein SSL-Zertifikat wird auf der Server-Seite installiert, jedoch gibt es visuelle Hinweise im Browser, anhand deren Benutzer wissen, dass sie durch SSL geschützt sind. Wenn eine Website mit einem SSL ausgestattet ist, sehen Benutzer „https://“ anstelle von „http://“ am Beginn der Webadresse (das zusätzliche „s“ steht für „sicher“). Abhängig davon, auf welcher Validierungsebene dem Unternehmen ein Zertifikat gegeben wird, kann eine sichere Verbindung durch das Vorhandensein eines Vorhängeschloss-Symbols oder einer grünen Adressleiste angezeigt werden.

Google empfiehlt mittlerweile, HTTPS oder SSL überall im Web zu verwenden und seit 2014 belohnt die Suchmaschine gesicherte Websites mit verbesserten Web-Rankings – ebenfalls ein guter Grund, SSL auf einer Seite zu installieren!

Transport Layer Security (TLS) ist das Nachfolgeprotokoll von SSL. TLS ist eine verbesserte Version von SSL. Es funktioniert im Prinzip genauso wie SSL, d. h. es verwendet Verschlüsselung, um die Übertragung von Daten und Informationen zu schützen. Die beiden Begriffe werden in der Branche oft synonym verwendet, obwohl der Begriff „SSL“ nach wie vor sehr gebräuchlich ist. Wenn Sie ein „SSL“-Zertifikat von DigiCert erwerben, können Sie es natürlich sowohl mit SSL- als auch mit TLS-Protokollen verwenden.

Ebenen der Unternehmensauthentifizierung

Certificate Authorities (CAs) können nicht nur verschlüsseln, sondern auch die Identität des Eigentümers einer Website authentifizieren und so für zusätzliche Sicherheit sorgen. Das SSL-Zertifikat wird dann als Beweis für die Identität des Unternehmens verwendet. Zertifikate können in drei Authentifizierungsgruppen aufgeteilt werden basierend auf den folgenden Authentifizierungsebenen:

Diese weichen im Hinblick auf Zweck und Funktion leicht voneinander ab. Es hilft, ein wenig mehr über die Funktionsweisen der einzelnen Zertifikate zu wissen, bevor Sie sich entscheiden, welches am besten für Sie geeignet ist.

SSL-Zertifikate

Optimieren Sie Ihre Website im Hinblick auf vertrauenswürdige Sicherheit mit SSL-Zertifikaten und dem Norton Seal.

Vergleichen Sie SSL-Zertifikate

Wie funktioniert ein SSL-Zertifikat?

Das Grundprinzip ist einfach: Wenn Sie ein SSL-Zertifikat auf Ihrem Server installieren und ein Browser eine Verbindung zu diesem Server herstellt, aktiviert das vorhandene SSL-Zertifikat das SSL (oder TLS)-Protokoll, das wiederum die zwischen dem Server und dem Browser (oder zwischen Servern) gesendeten Informationen verschlüsselt. Die Funktionsweise im Detail ist natürlich etwas komplizierter.

SSL wird direkt über dem Transmission Control Protocol (TCP) ausgeführt und funktioniert wie eine Sicherheitsschicht. Höhere Protokollschichten können auf diese Weise unverändert bleiben, während gleichzeitig eine sichere Verbindung bereitgestellt wird. Unterhalb der SSL-Schicht können die anderen Protokollschichten wie gewohnt ausgeführt werden.

Bei der ordnungsgemäßen Verwendung eines SSL-Zertifikats kann ein Angreifer lediglich sehen, welche IP und welcher Port verbunden sind und wie viele Daten ungefähr gesendet werden. Er kann die Verbindung zwar möglicherweise beenden, doch sowohl der Server als auch der Benutzer können dann erkennen, dass dies durch einen Dritten veranlasst wurde. Jedoch kann der Angreifer keine Informationen abfangen, so dass dieser Schritt im Wesentlichen ineffizient ist.

Der Hacker kann gegebenenfalls in Erfahrung bringen, mit welchem Hostnamen der Benutzer verbunden ist, aber nicht – was entscheidend ist – den Rest der URL. Da die Verbindung verschlüsselt ist, bleiben die wichtigen Informationen geschützt.

1
SSL wird aktiviert, nachdem die TCP-Verbindung hergestellt wurde, und initiiert einen sogenannten SSL-Handshake.
2
Der Server sendet sein Zertifikat zusammen mit einer Reihe von Spezifikationen (unter anderem welche SSL/TLS-Version und welche Verschlüsselungsmethoden eingesetzt werden sollen sowie weitere Informationen) an den Benutzer.
3
Der Benutzer überprüft dann die Gültigkeit des Zertifikats und wählt die höchste Verschlüsselungsstufe aus, die von beiden Parteien unterstützt werden kann. Anschließend wird eine sichere Sitzung mithilfe dieser Methoden gestartet. Es gibt eine große Anzahl von Methodensammlungen mit unterschiedlichen Stärken. Diese werden als „Cipher Suites“ bezeichnet.
4
Um die Integrität und Authentizität aller übertragenen Nachrichten zu gewährleisten, enthalten SSL- und TLS-Protokolle zudem einen Authentifizierungsprozess, der Message Authentication Codes (MAC) verwendet. Das Ganze mag zwar etwas langwierig und kompliziert klingen, doch in der Realität wird der gesamte Prozess ohne merkliche Verzögerung ausgeführt.

Verwaltung von SSL-Zertifikaten

Optimieren Sie Ihre Website im Hinblick auf vertrauenswürdige Sicherheit mit SSL-Zertifikaten und dem Norton Seal.

Woher weiß ich, ob ich SSL benötige?

Die Tatsache, dass Google auf HTTPS im ganzen Web drängt und Websites bevorzugt, die ein SSL-Zertifikat besitzen, zeigt vermutlich schon, wie stark SSL benötigt wird. Doch es gibt noch einige andere gute Gründe, um sich ein SSL-Zertifikat zuzulegen.

Sicheres Einkaufen

Laut „Business Insider“ werden 74 % aller Warenkörbe stehen gelassen, aber bis zu 64 % können mit besserer Sicherheit und Abwicklung wieder hergestellt werden. Viele dieser 64 % schließen eher einen Kauf ab, wenn sie wissen, dass der Kassenbereich sicher ist. Unternehmen können es sich nicht leisten, diese Zahl einfach zu ignorieren. Selbst wenn sie SSL nur für ihren Kassenbereich nutzen, rentiert sich das schon.

Mitgliedschaften anbieten

Falls Websites Mitgliedschaften oder etwas anderes anbieten, wofür E-Mail-Adressen und andere sensible Informationen erhoben werden, ist SSL eine gute Idee. Es macht stets Sinn, Kundeninformationen so sicher wie möglich zu bewahren.

Falls Formulare verwendet werden

Dasselbe gilt, falls sie irgendwelche Formulare verwenden, in die Benutzer Informationen, Dokumente oder Bilder eingeben. Es ist überraschend, wie viele Informationen über die Besucher einer Website erhoben werden, es rentiert sich also, diese zu schützen.

Wenn es sich um einen einfachen Blog oder eine standardmäßige Website handelt, die lediglich Informationen enthält, kann HTTPS dabei helfen, die Sicherheit der Websites zu schützen, das Risiko zu vermindern, dass die Webseiten missbraucht werden, oder dass Eindringlinge Werbung auf eine Seite setzen und damit das Benutzererlebnis unterbrechen. Darüber hinaus schadet es im Hinblick auf Suchmaschinenplatzierungen nicht.

Funktioniert SSL auf allen Geräten?

Langer Rede, kurzer Sinn: Ja, tut es. Natürlich gibt es einige Konfigurationen, die nicht hundertprozentig funktionieren, es kann also hilfreich sein, im Zweifelsfall mit dem Verkaufsteam der Certificate Authority zu sprechen.

Geräte und Betriebssysteme

Auch in dieser Hinsicht werden alle geläufigen Betriebssysteme für Computer, Tablets und Mobiltelefone unterstützt. Jedoch kann es im Fall von Mobiltelefonen vorkommen, dass ältere Geräte neuere SSL- oder TLS-Protokolle nicht unterstützen, es lohnt sich also, etwas nachzuforschen, um maximale Kompatibilität zu garantieren. Der SSL-Zertifikat-Anbieter kann Ihnen hierbei im Zweifelsfall weiterhelfen.

Browserkompatibilität

Benutzer verwenden verschiedene Browser (Chrome, Firefox, Safari usw.), um auf Webinhalte zuzugreifen. So wie Websites dazu entwickelt werden, auf allen Browsern zu funktionieren, funktionieren auch SSL/TLS von einem seriösen Anbieter in 99 % aller Fälle. Sofern Benutzer die Website nicht von einem winzigen Nischenbrowser aus aufrufen, ist der Zugang gesichert.

Server

Dank der Funktionsweise von SSL brauchen Server nicht unbedingt eingebettete Stammzertifikate, allerdings müssen Sie die entsprechenden Zwischenzertifikate installieren. So lange das Zertifikat korrekt installiert ist, kann es von jedem Server unterstützt werden. Es liegt am Browser, während des Handshake-Vorgangs festzustellen, ob es vertrauenswürdig ist oder nicht.

Zentrale Services und Eigenschaften

Erfahren Sie mehr darüber, wie unsere Services Ihnen helfen können, die Sicherheit auf Ihrer Website über SSL hinaus zu erweitern.

Wie wirkt sich SSL auf das Erscheinungsbild aus?

Wie wir in dieser Anleitung schon einige Male angesprochen haben, hat der visuelle Einfluss eines SSL-Zertifikats oft die größte Wirkung auf Benutzer und potenzielle Kunden. Doch wie genau funktioniert das, und wie genau tritt ein SSL auf einer Website in Erscheinung?

Wie bei jedem Kauf, egal ob online oder nicht, werden die meisten Menschen eher bei einem seriösen Händler kaufen. Zertifikate, die die Authentizität oder Erfahrung in einem bestimmten Gebiet nachweisen, tragen stark dazu bei, dass Kunden sich sicherer fühlen.

Und eben das ist der visuelle Einfluss, den ein SSL-Zertifikat auf potenzielle Kunden haben kann. SSL und TLS sind die besten und am meisten akzeptierten Sicherheitsstandards in der Branche und Zertifikate sollten stolz angepriesen werden, wo jeder sie sehen kann.

Zunächst erscheint es in der Adressleiste. Das Präfix der Website ist „https://“ anstatt „http://“ und Benutzer bestehen zunehmend auf diesen Unterschied.

Das Vorhandensein des Vorhängeschloss-Symbols in der Adressleiste ist ebenfalls ein starker Indikator für Sicherheit. Es versichert den Kunden, dass ihre Verbindung geschützt und verschlüsselt ist. Und, wie wir bereits erwähnt haben, erhöht es die Wahrscheinlichkeit, dass Benutzer eine Transaktion abschließen.

Durch die Verwendung des sichersten Zertifikats – des SSL-Zertifikats für erweiterte Validierung – erscheint der Unternehmensname in Grün in der Adressleiste. Dies ist eine weitere, zuverlässige Möglichkeit, um Kunden wissen zu lassen, dass eine Seite zu 100 % legitim ist.

Zu guter Letzt sind zahlreiche SSL-Zertifikate mit einem Siegelbild ausgestattet, das auf der Website verwendet werden kann, um die Marke des verwendeten SSL anzuzeigen. Lassen Sie Kunden wissen, dass ihre Sicherheit und Informationen geschützt sind, denn so ist es viel wahrscheinlicher, dass sie der Website ihr Geld anvertrauen. Forschungsergebnisse aus dem Jahr 2013 zeigen, dass der SSL-Siegel von DigiCert SSL im Web am bekanntesten ist.

Was ist ein SSL-Verbindungsfehler?

Ein SSL-Verbindungsfehler tritt auf, wenn bei der aufgerufenen Seite Sicherheitsbedenken vorliegen. Diese Fehler treten zum Schutz der Benutzer auf und unterbrechen den Zugriff, um den Benutzern mitzuteilen, dass es möglicherweise Sicherheitsbedenken gibt, falls sie fortfahren.

Dies kann auf verschiedene Weisen geschehen und hängt meist vom gewählten Browser ab. In einigen Fällen färbt sich die Seite rot und auch das Präfix „https://“ wird rot markiert. Bei der Verwendung von Google Chrome gibt es eine Reihe von Nachrichten, die Benutzer möglicherweise auf ihren Bildschirmen sehen. Dazu gehören beispielsweise „Ihre Verbindung ist nicht privat“ oder schlicht „Diese Webseite ist nicht verfügbar“.

Dies kann das Resultat eines veralteten Sicherheitscodes auf der Website sein und bedeutet nicht unbedingt, dass die aufgerufene Website verdächtig ist, jedoch sollten Benutzer Verbindungsfehler ernst nehmen, besonders wenn sie sich über die Ziel-Website nicht hundertprozentig sicher sind.

Auch wenn es Möglichkeiten gibt, SSL-Verbindungsfehler zu umgehen, wird unbedingt empfohlen, dass Benutzer dies nicht tun.

Falls bei Website-Entwicklungsversuchen festgestellt wird, dass bei der Website SSL-Verbindungsfehler auftreten, muss unbedingt schnell etwas dagegen unternommen werden. Dies kann etwa in Form einer Aktualisierung der Sicherheitseinstellungen erfolgen, oder indem Sie einfach ein besser geeignetes SSL-Zertifikat erwerben. Dies hilft Browsern dabei festzustellen, dass die Website sicher ist und ermöglicht es Nutzern, ohne Sicherheitswarnungen darauf zuzugreifen.

Umsetzung eines SSL-Zertifikats auf einer Website

Abhängig davon, wie und wo eine Website gehostet wird, gibt es verschiedene Möglichkeiten, ein SSL-Zertifikat hinzuzufügen. In einigen Fällen, falls sich auf der Website ein eCommerce-Element befindet, ist ein Zertifikat notwendig. Große Hosting-Anbieter stellen oft Hosting-Pakete bereit, die auch SSL-Zertifikate umfassen.

Es kann auch möglich sein, ein existierendes SSL von anderen Hosts zu übertragen (Exportieren vom Originalserver und Importieren auf den neuen Server). Dafür sind die konkreten Anweisungen auf der Website des Webhosters zu befolgen. Beachten Sie, dass einige Certification Authorities verlangen, dass Sie eine Serverlizenz für jeden Server erwerben, der das Zertifikat hosten wird.

Klicken Sie hier, um die vollständigen Installationsanleitungen abzurufen.

Vertrauen und Ihr Geschäft

Erfahren Sie, wie DigiCert SSL Ihnen hilft, Ihren Umsatz zu steigern, indem Kunden Zuversicht zum Klicken gegeben wird.

SSL-Zusammenfassung

SSL ist ein wichtiges Sicherheits-Tool für Unternehmen und spielt eine immer wichtigere Rolle beim Erfolg von Online-Transaktionen. Es ist wirklich nicht kompliziert, es zu kaufen und zu installieren. Außerdem gibt es dabei Hilfe von zahlreichen SSL-Anbietern.

Das Präfix „https://“ und das Vorhängeschloss-Symbol sind nur einige Klicks entfernt und können enormen Einfluss auf Ihre Geschäfte nehmen, Verkäufe steigern, das Vertrauen von Verbrauchern gewinnen und Webplatzierungen verbessern – alles mit nur einem branchenüblichen Zertifikat.

SSL-Glossar

#

256-Bit-Verschlüsselung Verfahren, bei dem ein elektronisches Dokument mit Hilfe eines Algorithmus, dessen Schlüssel 256 Bits lang ist, kodiert wird. Je länger der Schlüssel, desto stärker die Kodierung.

A

Asymmetrische Kryptographie Dabei handelt es sich um Verschlüsselungen, die während des Kodierungs- und Dekodierungsverfahrens ein Paar aus 2 Schlüsseln voraussetzen. In der Welt von SSL und TLS nennen wir sie öffentliche und private Schlüssel.

C

Certificate Signing Request (CSR) Zu Deutsch: Zertifikatsunterzeichnungsanfrage – ein maschinell lesbares Formular einer DigiCert-Zertifikatsanwendung. Ein CSR enthält in der Regel den öffentlichen Schlüssel und den kennzeichnenden Namen des Anfordernden.

Certification Authority (CA) Zu Deutsch: Zertifizierungsstelle – Eine Einheit, die dazu autorisiert ist, Zertifikate im Rahmen eines CPS (Certification Practice Statement) auszustellen, auszusetzen, zu erneuern oder zu widerrufen CAs werden durch einen kennzeichnenden Namen auf allen Zertifikaten und CRLs, die sie herausgeben, identifiziert. Eine Certification Authority muss ihren öffentlichen Schlüssel veröffentlichen oder ein Zertifikat von einer höhergestellten CA vorlegen, um die Gültigkeit ihres öffentlichen Schlüssels nachzuweisen, falls sie einer primären Certification Authority untergeordnet ist. DigiCert ist eine primäre Certification Authority (PCA).

Cipher-Suite Hierbei handelt es sich um ein Set aus Schlüsselaustauschprotokollen, die die Authentifizierungs-, Verschlüsselungs- und Nachrichtenauthentifizierungsalgorithmen enthalten, die innerhalb von SSL-Protokollen verwendet werden.

Common Name (CN) Zu Deutsch: Allgemeiner Name – Ein Attributwert innerhalb des kennzeichnenden Namens eines Zertifikats. Bei SSL-Zertifikaten ist der Common Name der DNS-Hostname der zu sichernden Website. Bei Software Publisher-Zertifikaten ist der Common Name der Unternehmensname.

Verbindungsfehler Wenn Sicherheitsprobleme den Beginn einer sicheren Sitzung verhindern, werden beim Versuch auf eine Website zuzugreifen Verbindungsfehler angezeigt.

D

Domain Validation (DV) SSL-Zertifikate Das einfachste aller SSL-Zertifikate, bei dem nur der Besitz des Domainnamens validiert wird, bevor das Zertifikat ausgestellt wird.

E

Elliptic Curve Cryptography (ECC) Zu Deutsch: Elliptische Kurvenkryptographie – Erstellt Kodierungsschlüssel basierend auf der Idee, dass Punkte auf einer Kurve zur Erstellung des öffentlichen/privaten Schlüsselpaars verwendet werden. Es ist äußerst schwierig, diese mit den von Hackern oft angewandten Methoden der rohen Gewalt zu knacken und bietet eine schnellere Lösung mit weniger Rechenleistung als eine reine RSA-Kettenverschlüsselung.

Verschlüsselung Verfahren, bei dem lesbare Daten (einfacher Text) in eine nicht lesbare Form (verschlüsselter Text) umgewandelt werden, so dass die Originaldaten entweder nicht wieder hergestellt werden können (einfache Verschlüsselung) oder nicht ohne die Verwendung eines inversen Dekodierungsverfahrens wieder hergestellt werden können (wechselseitige Verschlüsselung).

Erweiterte Validation (EV) SSL-Zertifikate Das umfassendste aller sicheren Zertifikate, das die Domain validiert, einer sehr strengen Authentifizierung des Unternehmens bedarf und in der Adressleiste angezeigt wird.

K

Schlüsselaustausch Dies ist die Art und Weise, auf die Benutzer und Server ein sicheres Pre-Master-Secret für eine Sitzung festlegen.

M

Master Secret Das Schlüsselmaterial, das für die Generierung von Kodierungsschlüsseln, MAC-Secrets und Initialisierungsvektoren verwendet wird.

Message Authentication Code (MAC) Zu Deutsch: Nachrichtenautentifizierungscode – Eine einfache Hash-Funktion, die über eine Nachricht und ein Secret arrangiert wird.

O

Organization Validation (OV) SSL-Zertifikate Eine Art SSL-Zertifikat, das den Besitz der Domain und die Existenz des dahinterstehenden Unternehmens validiert.

P

Pre-Master Secret Das Schlüsselmaterial, das zur Ableitung des Master Secrets verwendet wird.

Public Key Infrastructure (PKI) Zu Deutsch: Öffentliche Schlüsselinfrastruktur — Architektur, Organisation, Techniken, Praktiken und andere Verfahren, die gemeinsam die Umsetzung und den Betrieb eines zertifikatbasierten öffentlichen kryptographischen Schlüsselsystems unterstützen. Die PKI besteht aus Systemen, die zusammenarbeiten, um das öffentliche kryptographische Schlüsselsystem und möglicherweise andere, damit verbundene Services bereitzustellen und umzusetzen.

S

Sicherer Server Server, der die Host-Webseiten mit Hilfe von SSL oder TLS schützt. Wenn ein sicherer Server verwendet wird, wird der Server dem Benutzer authentifiziert. Darüber hinaus werden die Informationen des Benutzers vom SSL-Protokoll des Webbrowsers des Benutzers verschlüsselt, bevor sie über das Internet versendet werden. Informationen können nur durch die Hostseite entschlüsselt werden, die sie angefordert hat.

SAN (Subject Alternative Name) SSL-Zertifikate Art von Zertifikat, mit dem mehrere Domains mit einem SSL-Zertifikat gesichert werden können.

SSL Steht für Secure Sockets Layer. Protokoll für Webbrowser und Server, mit dem über das Internet gesendete Daten authentifiziert, kodiert und dekodiert werden können.

SSL-Zertifikat Server-Zertifikat, das die Authentifizierung des Servers zum Benutzer ermöglicht, sowie die Verschlüsselung von Daten, die zwischen dem Server und dem Benutzer übertragen werden. SSL-Zertifikate werden direkt von DigiCert verkauft und ausgestellt, sowie durch die von DigiCert verwaltete PKI für SSL-Center.

SSL-Handshake Ein Protokoll, das innerhalb von SSL zur Sicherheitsverhandlung verwendet wird.

Symmetrische Verschlüsselung Verschlüsselungsmethode, bei der derselbe Schlüssel während der Kodierungs- und Dekodierungsverfahren verwendet wird.

T

TCP Transmission Control Protocol, eines der Hauptprotokolle in jedem Netzwerk.

W

Wildcard SSL-Zertifikate Art von Zertifikat, das zur Sicherung mehrerer Subdomains verwendet wird.

Wir haben unsere Datenschutzrichtlinie aktualisiert, die Sie hier finden können.