AmazonHilf uns, indem du über diesen Link einkaufst.

Webseite mit SSL absichern: Wieso sollte ich das tun?

Wieso sollte ich meine Webseite mit SSL absichern? Was bringt mir das? Das sind wichtige Fragen, mit denen sich Jeder, der eine Webseite betreibt befassen sollte. Auch ich habe mir diese Frage kürzlich gestellt und netw0rker.com mit einem SSL-Zertifikat versehen. 

Bildnachweis: Q.pictures / pixelio.de
Bildquelle: Q.pictures / pixelio.de

SSL ist das Rückgrat des sicheren Internets und beschützt Eure sensiblen Informationen während diese quer durch die Welt reisen. Es beschützt das Internet davor, von Anarchisten und Kriminellen beherrscht zu werden und bietet viele Vorteile für Euch und auch eure Besucher.

 

Vorteile und Möglichkeiten von SSL

Verschlüsselung sensibler Daten

SSL kommt in den meisten Fällen zum Einsatz, um Informationen wie Bankdaten oder Kredikartendaten verschlüsselt vom Webbrowser an den Webserver zu übermitteln. Es kann also nur der Empfänger (bspw. ein Onlineshop) die Daten lesen. Bei der normalen, nicht mit SSL verschlüsselten Datenübertragung würden diese Daten im Klartext übertragen. Es könnte also jeder, der die Datenübertragung abfängt (z.B. mit Wireshark) eure Kontodaten, eure Bankdaten, euren Benutzernamen und euer Passwort einsehen. SSL schützt euch also in erster Linie davor, dass eure persönlichen Daten missbraucht werden.

 

Authentifizierung

Zusätzlich zur Verschlüsselung bietet ein offizielles SSL-Zertifikat auch eine Authentifizierung. Das heißt, man kann sich sicher sein, dass die gesendeten Informationen auch dem richtigen Server zugestellt werden. Für gewöhnlich werden eure Daten über mehrere Server gesendet, bis sie schlussendlich beim tatsächlichen Zielserver landen. Theoretisch könnte sich jeder dieser Server als der Zielserver ausgeben. Durch ein von einer offiziellen Zertifizierungsstelle (Certification Authority – CA) ausgestellten Zertifikat wird dem Besucher die Authentizität bescheinigt. Diese Zertifikate werden erst nach einer Prüfung ausgestellt und sind auch nur eine begrenzte Zeit gültig. Dabei gibt es verschiedene Prüfmethoden. Die simpelste Methode dabei ist die Überprüfung des Whois Eintrags. Dabei wird nur der Besitzer der Domain überprüft und anschließend das Zertifikat ausgestellt. Die tiefgehenste und langwierigste aber auch vertrauensvollste Methode ist die Prüfung der Organisationsvalidierten Zertifikate. Dabei wird u.A. die Eintragung im Handelsregister mit dem Whois Eintrag abgeglichen und eine telefonische Validierung durchgeführt.

 

Wie erkenne ich eine SSL verschlüsselte Seite?

Grundsätzlich ist jede Seite, die mit einem https:// vor dem Domänennamen aufgerufen wird SSL verschlüsselt (bspw. https://netw0rker.com). Des Weiteren zeigt mittlerweile jeder gängigen Browser zumindest ein Schloss im Bereich des Adressfeldes an.

Darstellung SSL
Darstellung der SSL Verschlüsselung im Browser

Wenn Ihr auf dieses Schloss klickt, werden euch weitere Infos über das Zertifikat angezeigt (u.A. die Zertifizierungsstelle). Unter Weitere Informationen könnt Ihr dann noch tiefgehendere Informationen einsehen (bspw. Zeitraum der Zertifikatsgültigkeit).

PayPal SSL Zertifikat
PayPal SSL Zertifikat

 

eMail Verschlüsselung

Auch die Verschlüsselung der eMails ist via SSL problemlos möglich. Dabei können Mails signiert (Absender Verifizierung) oder verschlüsselt werden. Auf diese Thematik (Stichwort S/MIME) werde ich in einem anderen Artikel näher eingehen.

 

SSL als Ranking-Faktor

Vor kurzem hat Google mitgeteilt, dass SSL verschlüsselte Seiten im Google Ranking den Unverschlüsselten vorgezogen werden. Das heißt im Klartext: Seiten die via HTTPS aufgerufen werden, werden in den Google-Suchergebnissen weiter oben angezeigt und dadurch häufiger aufgerufen. Darüber hinaus wird Google zukünftig unverschlüsselte Seiten im hauseigenen Browser Chrome als unsicher kennzeichnen. Dieses sehr strikte Vorgehen wird vermutlich dazu führen, dass ein sehr großer Teil der Webmaster in Zukunft auf eine SSL-Verschlüsselung ihrer Webseiten setzen werden.

 

Nachteile von SSL

Wenn SSL nur Vorteile bieten würde, gäbe es keine Gründe, es nicht auf jeder Webseite einzusetzen. Ein Gerücht, das sich hartnäckig hält, ist der hohe Preis der SSL-Zertifikate.  Es gibt nach wie vor einige Anbieter, die tatsächlich horrende Preise für ein Zertifikat verlangen – es gibt allerdings auch genug Provider, die günstige oder sogar kostenlose Zertifikate anbieten. StartSSL bietet bspw. kostenlose SSL-Zertifikate mit einer Gültigkeit von einem Jahr an, die auch in allen gängigen Browsern akzeptiert werden. Bei netw0rker.com konnte ich leider nicht auf StartSSL setzen, da die Domain gegen deren Richtlinien verstößt. Sie kann zu leicht mit networker.com verwechselt werden. Ich habe mich deshalb für ein Zertifikat aus dem Hause AlphaSSL entschieden. Das lässt sich günstig bei domainFACTORY erstehen (z.Zt. 1,99€/Monat). Die Beantragung und Erteilung war in unter 15 Minuten erledigt. Ein Artikel sowohl für StartSSL als auch für AlphaSSL folgt.

Ein weiterer Nachteil ist die Performance. Da alle Informationen vor der Datenübertragung verschlüsselt und anschließend wieder entschlüsselt werden müssen, wird dem Webserver deutlich mehr abverlangt, als bei der unverschlüsselten Übertragung. Aus diesem Grund bieten leider viele Webhoster nicht die Möglichkeit, ein SSL Zertifikat zu hinterlegen.

 

Nun habe ich in diesem Artikel das ein oder andere Mal „offizielle Zertifikate“ erwähnt. Dazu wird es in den nächsten Tagen ebenfalls einen eigenen Artikel geben, indem der Unterschied zwischen signierten (offiziellen) und selbstsignierten (inoffiziellen) Zertifikaten erklärt wird.