27. Mai 2018 - Technik-News

Warum die SSL-Verschlüsselung jetzt jedes Unternehmen betrifft

SSL wird meist in Bezug auf eCommerce oder Banking ins Gespräch gebracht. Tatsächlich ist SSL aber mittlerweile in allen  Bereichen der Webtechnologien und vor Allem auch in Bezug auf Unternehmensseiten relevant. Grund genug das in unserem aktuellen Blogbeitrag einmal näher zu beleuchten.

Ab Juli 2018 wird die SSL-Verschlüsselung für die gängigsten Browser - wie Chrome oder Firefox - notwendig, welche eine Webseite als sicheren Ort auf dem Marktplatz des Internets präsentieren wollen. Google bringt die Chrome Version 68 heraus. Mit dieser Version werden Webseiten ohne SSL/TLS Zertifikat als „nicht sicher“ markiert, was beim Nutzer Zweifel in Bezug auf deren Echtheit und Sicherheit hervorrufen kann. Das soll die Anzahl der verschlüsselten Seiten vergrößern und die Sicherheit im Web deutlich verstärken (Hintergrund: Edward Snowden).

Die gesteigerte Sicherheit im Internet ist auch der Grund weshalb Browser wie auch Firefox neue Funktionen oder auch Funktionsbestandteile nur noch auf als sicher eingestuften Webseiten nutzen bzw. anzeigen wird. Als sicher gilt hierbei eine Seite welche durch die SSL-Technologie vor Veränderungen während der Übetragung geschützt sind.

Was das konkret für Webseitenbetreiber und Firmen mit Unternehmenswebseiten, Apps oder Portalen bedeutet und worauf zu achten ist, erklären wir in den folgenden Zeilen.

Was ist SSL-Technologie eigentlich genau?

Die SSL-Technologie (Secure Sockets Layer) ist eine der am weitesten verbreiteten Sicherheitstechniken, welche man im Web findet. Eine andere Verschlüsselungs-Technik zur Übertragung von Daten ist zum Beispiel DANE. Ein SSL-Zertifikat ist ein Nachweis, welcher die Inhaberdaten eines Webservers ­- und einer Webseite - an kryptografische Schlüssel bindet und so die Sicherheit zwischen dem Browser und dem Webserver erhöht. Die Kommunikation findet nur noch verschlüsselt statt und somit ist ein sogenannter Man-in-the-Middle Angriff , bei welchem Angreifer veränderte Daten in die Übertragung einfügen, (fast) unmöglich.

Die Verschlüsselung, welche ursprüngliche mehr im Bereich Banken verwendet wurde, ist die sogenannte TLS-Verschlüsselung (Transport Layer Security). Sie ist die Authentifizierung zweier Kommunikationspartner und gleichzeitig auch die Sicherstellung der Integrität der übertragenen Daten mit vertraulicher Ende-zu-Ende-Datenübertragen. Das heißt, es wird sowohl die Webseite, wie auch derjenige*, der die Seite aufruft, nach einer Authentifizierung gefragt - und nicht nur die Webseite, wie es bei SSL der Fall ist. Diese Technologie kommt zum Tragen, wenn wir zum Beispiel über unser Bankkonto eine Überweisung via Web tätigen wollen.

Wie erkennt man eine SSL-vERSCHLÜSSELUNG AUF EINER wEBSEITE?

Der Unterschied zu einer unsicheren Verbindung lässt sich relativ leicht am HTTP erkennen. SSL-zertifizierte Seiten haben an ihr HTTP ein „S“ angehängt. Das sieht wie folgt aus: „https://...“. Zusätzlich wird, je nach Browser, in der Adresszeile ein geschlossenes Sicherheitsschloss angezeigt.

Was sind Zertifizierungsstellen?

Eine Zertifizierungsstelle (CA = Certified Authority) hat die Aufgabe, Zertifikate auszustellen und den Browsern zu vermitteln, dass die Webseite einen seriösen Ursprung hat. Von den autorisierten CAs gibt es eine relativ kleine Anzahl. Darunter findet man Symantec, GeoTrust, RapidSSL, Thawte und Let’s encrypt.

Ausschlaggebend für das Vertrauen der Browser und Geräte gegenüber der CAs ist das Alter der Zertifizierungsstelle, da die Browser den Stellen immer besser vertrauen, sowie eine erhebliche Kompatibilität mit älteren Browsern, vor allem älteren mobilen Geräten. Diese Kompatibilität heißt Ubiquität und ist eines der wichtigsten Merkmale für CAs.

Welche Arten von Zertifikaten gibt es?

Die Verschlüsselungen werden in drei Stufen angeboten, die für unterschiedliche Ansprüche der Webseiten geeignet sind:

  • DV-Authentifizierung
    Eine Domain Validation (DV) wird ausschließlich über E-Mail Verkehr genehmigt. Dabei schickt die Zertifizierungsstelle eine E-Mail an die WHOIS- (Beispiel: DENIC) oder alternative administrative Adresse, um die Bestellung eines SSL-Zertifikats zu bestätigen. Es wird geprüft, ob der eigentliche Auftraggeber* ebenfalls Inhaber der Domain ist. In diesem Zertifikat wird angezeigt, dass die Seite sicher ist und man mit einer realen Person kommuniziert, aber nicht mit welcher.
    DV eignet sich für: kleinere Webseiten, Foren, Blogs, Intranet und Mailserver.
  • OV-Authentifizierung
    Bei der Organization Validation (OV) wird nicht nur ein Domaincheck durchgeführt, sondern auch ein Identitätscheck. Das Unternehmen muss entsprechende Dokumente nachweisen, die es als Inhaber der Domain bestätigen. Im Normalfall fordert die CA einen Handelsregisterauszug, den Abgleich der Bankdaten und einen einmaligen telefonischen Kontakt. Der Vorteil dieser Authentifizierung ist die Anzeige des Unternehmensnamens und des Ortes im Zertifikat.
    OV eignet sich für: Webshops, Unternehmensseiten und Webmail.
  • EV-Authentifizierung
    Neben der DV und dem Check der Identität der Firma, überprüft die CA bei einer Extended Validation (EV) zusätzlich die Identität des Antragstellers. Es muss eine natürliche Person sein, die beim Unternehmen angestellt ist und über die Befugnis, eine EV zu erwerben, verfügt. Die EV steht für das Versprechen, mit legalen Unternehmen zu kommunizieren.
    Mit dem EV-Zertifikat gehört die Firma zu den Top-Unternehmen, also jenen die zeigen, dass sie sich um die Sicherheit im Internet kümmern.

Egal, welche der drei Varianten man wählt, die Kommunikation ist stets verschlüsselt und sicher und sollte unbedingt einer unverschlüsselten Verbindung gegenüber vorgezogen werden.

Warum ist eine SSL-Verschlüsselung sinnvoll für Unternehmenswebseiten?

Das Hauptargument sollte immer die erhöhte Vertrauenswürdigkeit dem Nutzer* bzw Besucher* der Webseite gegenüber sein. Kommt ein Besucher* auf Ihre Firmenseite und der Browser zeigt ihm an, dass die Verbindung verschlüsselt wird, erhöht dies das Vertrauen und Sicherheitsgefühl und dadurch auch die Seriosität der Webseite.

Man achtet gleichzeitig auf den Schutz von sensiblen Daten vor Missbrauch, folglich auch auf den Schutz der Daten des Nutzers*. Das repräsentiert einen professionellen Auftritt im Web, der unter anderem von Google belohnt wird. Google vergibt sicheren Webseiten einen höheren Rankingfaktor, weshalb sie in der Suchmaschine weiter oben zu finden sein werden als wenn der Webauftritt unverschlüsselt aufrufbar ist.

Wie PixelMechanics Sie hierbei unterstützen kann

Wenn Ihre Firmenseite bei uns gehostet wird, ist für PixelMechanics eine SSL-Zertifizierung nach DV-Standard im ersten Schritt als Service inbegriffen. Wir vertrauen hierbei auf Let’s encrypt.

Let’s encrypt ist eine globale CA und Nonprofit-Organisation, die nicht nur auf Deutschland oder Europa beschränkt ist. Let’s encrypt stellt deren Service kostenlos zur Verfügung.

Die dort ausgestellten SSL-Zertifikate sind mit den aktuellen Browsern kompatibel und für mehrere Domains nutzbar (Wildcard).
Let’s Encrypt-Zertifikate sind 90 Tagen lang gültig (für den Browser), werden aber automatisch nach 60 Tagen erneuert (voll-automatisch), so daß man sich auch nicht mehr um die Verlängerung der SSL-Zertifikate kümmern muss.

Darüber hinaus bleibt die Unterstützung dieses Zertifikats bestehen, während Chrome die Unterstützung für alte Symantec (inkl. Thawte, Verisign, Equifax, GeoTrust and RapidSSL) Zertifikate im März abgeschaltet hat. Siehe dazu auch: https://www.heise.de/newsticker/meldung/Kommentar-zu-SSL-Zertifikaten-Googles-Rachefeldzug-gegen-Symantec-3963626.html

Fazit

Die Websicherheit ist ein immer wichtiger werdendes Thema, spätestens seit den Enthüllungen von Edward Snowden. Deswegen ist es wichtig, sich mit diesem Bereich auseinander zu setzen und via SSL-Zertifikaten Teil des Webstandards zu werden.

PixelMechanics hat sich dessen bereits angenommen und erstellt alle aktuellen Projekte nur noch auf Basis eines kostenlosen Let’s Encrypt SSL-Zertifikats (oder auf Wunsch natürlich auch mit kostenpflichtigen DV/EV-Zertifikaten).

Bei Fragen oder falls Sie Unterstützung wünschen, kommen Sie gerne auf uns zu.

Diese Webseite verwendet Cookies. Indem Sie unsere Website nutzen, stimmen Sie der Verwendung von Cookies zu.