SSL-Zertifikat: Die 3 SSL-Stufen, welche Sie brauchen & warum es Pflicht ist

in 2 Kommentare

Ab wann sollten Sie ein SSL-Zertifikat für Ihre Website benutzen?

Die SSL-Verschlüsselung (sichtbar am Schloss-Symbol und HTTPS in der URL) gehört heute de facto zum Standard für jede neu erstellte Firmen-Website.

Doch auch für Privat- oder Vereinswebsites lohnt es sich, da es mittlerweile professionelle Gratis SSL-Zertifikate gibt.

Hier eine Übersicht über die Themen dieses etwas längeren Artikels:

Hier zuerst die 3 Hauptgründe, warum ein SSL-Zertifikat überhaupt Sinn macht:

Grund #1: Die tatsächliche Sicherheit (aber auch das empfundene Sicherheitsgefühl des Besuchers)

Das ist natürlich der offensichtlichste Grund.

Aber was genau bringt ein SSL-Zertifikat überhaupt aus technischer Sicht?

Einfach erklärt: Daten die zwischen dem Besucher und der Website gesendet werden, werden verschlüsselt und können somit von niemandem mehr abgehört werden.

Dass die gesendeten Daten zwischen Besucher und Website problemlos abgehört werden können, hört sich jetzt vielleicht für die ein oder andere Person sehr kritisch und erschreckend an.

Aber denken Sie daran: Auch jedes E-Mail, dass Sie unverschlüsselt verschicken (also ohne z.B. PGP-Verschlüsselung), kann grundsätzlich genau so einfach abgefangen und gelesen werden.

Das heisst, ohne SSL können übertragene Daten wie z.B. ausgefüllte Formulare, aber auch Benutzernamen und Passwörter, theoretisch abgefangen und gelesen werden.

Was meine ich mit „empfundenem Sicherheitsgefühl“?

Vielen Besuchern gibt ein SSL-Zertifikat einfach ein sicheres Gefühl beim Surfen im Internet – auch wenn der Besucher z.B. auf Ihrer Website gar keine sensitiven Daten eingibt.

Darum nutzen selbst grosse Firmen und Websites (wie z.B. das Nachrichtenportal „20 Minuten“, auch wenn sich das in naher Zukunft wahrscheinlich ändert) teilweise kein SSL: Weil beim normalen Surfen keine sensitiven Daten zwischen Benutzer und Websites ausgetauscht werden.

Selbst bei bei einem Online Shop könnten Sie theoretisch auf ein SSL-Zertifikat verzichten, wenn Sie Kreditkartenzahlungen nur via Rechnung und PayPal annehmen (wobei es bei Online Shops natürlich auch in diesem Fall sehr zu empfehlen ist, weil beim Online Shopping mehr Besucher auf die Sicherheit achten).

Grundsätzlich geht es also auch um den Eindruck, den Sie beim Besucher hinterlassen möchten. Nicht nur um die tatsächlich nötige technische Sicherheit.

Aber ein Wort der Warnung:

Der Google Chrome Browser warnt vor Websites ohne SSL-Zertifikat

Im Moment noch nur, wenn auf der Website ohne SSL-Zertifikat tatsächlich sensitive Daten (konkret z.B. Login-Informationen/Passwörter oder Kreditkarteninformationen) eingegeben werden können.

In diesem Fall steht in der Adressleiste der Hinweis „Nicht sicher“:

Google Chrome Warnung bei fehlendem SSL-Zertifikat

Google hat aber bereits angekündigt (könnte man durchaus als Drohung sehen), diesen Warnhinweis ab Juli 2018 grundsätzlich bei jeder Website ohne SSL-Zertifikat anzuzeigen – unabhängig davon ob sensitive Daten übertragen werden oder nicht!

Und auch andere Browser wie z.B. Firefox oder Safari werden da sicherlich bald ähnlich nachziehen bzw. machen das bereits.

Firefox warnt den Besucher z.B. direkt bei der Eingabe bei Formularen oder Logins, wenn die Verbindung nicht sicher ist:

Die DSGVO macht SSL zur Pflicht

Der letzte Grund hat mit der EU Datenschutzgrundverordnung DSGVO zu tun, welche auch uns in der Schweiz betrifft und die SSL-Verschlüsselung aus Datenschutzgründen zur Pflicht macht.

Aus all diesen Gründen darf man heute also wirklich von einer SSL-Pflicht sprechen.

Grund #2: Verbesserte Website Ladegeschwindigkeit

Was hat denn SSL mit der Ladezeit einer Website zu tun?

Hier eine kurze, nicht all zu technische Erklärung:

Das gute alte HTTP (welches für den Transport der Website zu Ihrem Browser verantwortlich ist) ist schlicht und ergreifend in die Jahre gekommen (die aktuelle HTTP Version stammt von 1999!).

Das neue HTTP/2 (das seit 2015 im Einsatz ist) ist deutlich schneller.

Das liegt daran, dass es unter anderem mehrere gleichzeitige Verbindungen zulässt (und damit neu HTML, CSS und Bild-Dateien Ihrer Website gleichzeitig übertragen werden können).

Aber der Punkt ist:

Alle Browser unterstützen HTTP/2 nur dann, wenn die Verbindung mit SSL verschlüsselt ist.

Und da die Website Geschwindigkeit sowohl für Google, als auch für Ihre Besucher äusserst wichtig ist, ist das ein nicht zu unterschätzender Punkt.

Grund #3: (Kleiner) SEO Boost

Fakt ist: Google lebt vom Internet und will das gesamte Internet zu einem besseren Ort machen (mehr Internetnutzer = mehr Geld für Google).

Und was ist für ein benutzerfreundliches Internet wichtiger, als die Sicherheit und Geschwindigkeit?

2014 hat Google offiziell bestätigt, dass die SSL-Verschlüsselung ein Ranking Faktor ist.

Sie dürfen zwar keine SEO-Wunder erwarten, nur weil Sie auf SSL umsteigen, ist aber definitiv ein netter Pluspunkt (aber kein Zertifikat zu haben, ist definitiv keinSEO-Killer„).

Sie sehen:

Es gibt genügend Gründe für den Einsatz eines SSL-Zertifikats.

Einziger Nachteil:

Das Thema ist komplizierter als erwartet (ohne jetzt überhaupt auf die tatsächliche technische Umsetzung einzugehen).

Schauen wir uns also einmal unsere Optionen an:

Die 3 verschiedenen Stufen von SSL-Zertifikaten

Sie haben richtig gelesen:

Nach der grundsätzlichen Ja-/Nein-Entscheidung ist die nächste Frage: Wie viel SSL darf es sein?

Alle 3 Stufen bieten die gleiche technische Sicherheit (= Abhörsicherheit der gesendeten Daten zwischen Website und Besucher).

Die empfundene Sicherheit steigt aber mit den höheren SSL-Stufen, weil die Zertifizierungsstelle den Antragssteller und deren Firma dahinter überprüft.

Warum rede ich hier wieder nur von „empfundener Sicherheit“?

Ganz einfach: Diese Überprüfung stellt lediglich sicher, dass das SSL-Zertifikat zur richtigen Firma gehört. Also google.ch wirklich der Firma Google gehört.

Der typische Angriffsfall wäre aber, dass mich ein Betrüger auf googel.ch lockt (z.B. per Phishing Mail).

Oder aber, dass der Angreifer sich irgendwie Zugriff auf google.ch verschafft hat. Und in diesem Fall ist es kein Problem, dass er auch das SSL-Zertifikat entfernt oder mit einer Fälschung ersetzt.

Das Problem bei beiden Fällen ist: Wer überprüft tatsächlich bei jeder Website aktiv das Zertifikat im Browser? Praktisch niemand.

Kurz gesagt: Jede SSL-Stufe schützt den Besucher genau gleich gut, sobald er auf der korrekten Website landet. Und keine SSL-Stufe kann den Besucher schützen, wenn er auf der falschen (oder einer kompromittierten / gehackten) Website landet.

Übrigens: Technisch wird eigentlich TLS als Verschlüsselung verwendet. TLS ist der Nachfolger/Weiterentwicklung von SSL, der Begriff hat sich einfach nicht wirklich durchgesetzt.

Den richtigen SSL-Anbieter (auch Zertifizierungsstelle = Certificate Authority, oder kurz CA) finden

Es gibt unzählige Anbieter.

Und ehrlich gesagt, finde ich den Markt und die Angebote komplett undurchsichtig.

Ein Vergleich aller verschiedenen Anbieter (und deren verschiedener Angebote) ist nahezu unmöglich und sehr aufwändig.

Je nach Anbieter gibt es auch grosse Unterschiede im Preis, weil in den verschiedenen Angeboten z.B. unterschiedliche Betrugsfälle abgedeckt sind und die Versicherungssumme unterschiedlich gross ist (was alles mit der tatsächlichen SSL-Verschlüsselung gar nichts zu tun hat).

Wenn Sie auf einen der grössten und bekanntesten SSL-Anbieter setzen, können Sie zumindest grundsätzlich nicht all zu viel falsch machen (was Verbreitung und Akzeptanz des SSL-Zertifikats angeht).

Da habe ich mich etwas getäuscht: Innert 2 Jahren hat sich der Markt der Anbieter komplett verändert (jeder Anbieter behauptet natürlich „führender Anbieter“ zu sein).

Das war der Stand der Grösse und dem tatsächlichen Marktanteil nach im 2016, bei erstmaliger Veröffentlichung dieses Artikels:

  1. Comodo (43.8% aller weltweit eingesetzten SSL-Zertifikate)
  2. IdenTrust (21.4%)
  3. Symantec (16.0%. Zu Symantec gehören übrigens auch bekannte Namen wie GeoTrustThawte und RapidSSL)

Und heute 2018 ist der Stand wie folgt:

  1. IdenTrust (39.3% aller weltweit eingesetzten SSL-Zertifikate)
  2. Comodo (35.3%)
  3. DigiCert (12.4%. Zu DigiCert (ehemals Symantec) gehören übrigens auch bekannte Namen wie GeoTrustThawte und RapidSSL)

Interessante Geschichte:

Symantec hat sein SSL-Geschäft aufgegeben und an DigiCert verkauft.

Der Grund?

Symantec hat unberechtigterweise Zertifikate für Tausende Domains ausgestellt… inklusive für Google.com höchstpersönlich.

Google hat knallhart reagiert und kurzerhand alle SSL-Zertifikate von Symantec im Google Chrome Browser als unsicher eingestuft bzw. je nachdem einfach herabgestuft.

Das ist natürlich ein KO-Schlag als Zertifizierungstelle.

Soviel also zum Thema Sicherheit 😉

Ein (im weltweiten Vergleich natürlich sehr kleiner, deswegen aber nicht schlechterer) Schweizer Anbieter wäre SwissSign, das zur Schweizerischen Post gehört.

Und bereits vorab:

Mit Let’s Encrypt gibt es auch eine Non-Profit Organisation, die Gratis SSL-Zertifikate vergibt und hinter der Namen wie Google, Facebook und Mozilla (die Non-Profit Organisation hinter Firefox und Thunderbird) stehen.

Schlussendlich haben Sie die Qual der Wahl und müssen die verschiedenen Angebote und Preis-/Leistungsverhältnis für Ihre individuellen Bedürfnisse vergleichen.

Ich stelle Ihnen hier einfach einmal die 3 grundsätzlichen (technischen) Stufen vor (und wo der Preis für ein entsprechendes Zertifikat ungefähr startet):

SSL Stufe 1: Domain-Validierung (DV / Domain Validation)

Die Zertifizierungsstelle überprüft ob Sie das Recht haben, eine bestimmte Domain zu benutzen.

Sprich: Gehört Ihnen die Domain www.xyz.ch?

Die tatsächliche Organisation (Firma oder Personen) werden nicht überprüft.

Jeder kann ein SSL-Zertifikat mit Domain-Validierung erwerben (was grundsätzlich aber überhaupt nichts Schlechtes ist).

Im Browser sieht der Besucher (sieht je nach verwendetem Browser natürlich etwas anders aus) ein grünes Schloss-Symbol und das https:

SSL Stufe 1: Domain-Validation
Website ohne (oben) und mit (unten) SSL-Zertifikat

Wie bereits angedeutet ist in dieser Kategorie Let’s Encrypt seit Ende 2015 der Renner, weil dieser ein gratis SSL-Zertifikat für alle anbietet.

Wem diese Stufe ausreicht, trifft mit Let’s Encrypt meiner Meinung nach die beste Wahl.

SSL Stufe 2: Organisation-Validierung (OV / Organization Validation)

Die Überprüfung der Zertifizierungsstelle ist hier etwas strenger: Sie führt eine grundlegende Überprüfung der Firma durch, die das SSL-Zertifikat beantragt (z.B. muss ein Handelsregistereintrag vorhanden sein).

Das hört sich im ersten Moment schonmal gut an, ändert aber wie anfangs erwähnt nichts an der technischen Sicherheit.

Und:

Im Browser sieht das Stufe 2 SSL-Zertifikat auf den ersten Blick genau gleich wie Stufe 1 aus:

SSL Stufe 2: Organisation-Validation

Im Browser wird der Unterschied zur Stufe 1 (Domain-Validierung) erst dann sichtbar, wenn man das Zertifikat genauer anschaut (was z.B. in Firefox 4 Klicks braucht!).

Und sind wir doch mal ehrlich: Das macht kein Mensch (ausser mir für diesen Artikel 😉 ).

SSL Stufe 1: Domain-Validation Erkennung
Details in einem Zertifikat der Stufe 1
SSL Stufe 2: Organisation-Validation Erkennung
Details in einem Zertifikat der Stufe 2

Ein Vorteil (speziell bei Online Shops) von einem Stufe 2 SSL-Zertifikat ist, dass man ein Sicherheitssiegel vom Anbieter auf seiner Website verwenden darf. Hier ein Beispiel-Siegel von Symantec:

Beispiel SSL-Siegel Symantec

Ausserdem bietet die Zertifizierungsstelle weitere Dienstleistungen wie z.B. eine Versicherung im Betrugsfall. Wie und was diese Versicherung aber tatsächlich abdeckt, sollten Sie unbedingt selber im Voraus genau recherchieren.

Preislich muss man ca. ab 150-200 CHF pro Jahr für ein Stufe 2 Zertifikat einrechnen.

Ich persönlich empfehle entweder bei Stufe 1 und Let’s Encrypt zu bleiben, oder direkt ein Stufe 3 Zertifikat zu wählen:

SSL Stufe 3: Erweiterte Validierung (EV / Extended Validation)

Die Überprüfung der Zertifizierungsstelle ist hier besonders streng: Per Telefon und durch Kopien von amtlichen Dokumenten wird die Identität des Antragsstellers und der Firma genau überprüft.

Wie am Anfang bereits gesagt: Technisch wird die Sicherheit dadurch nicht verbessert. Wahrscheinlich ist auch das ein Grund, warum z.B. Google keine EV-Zertifikate nutzt.

Aber der grosse Vorteil von Stufe 3:

Im Browser erhalten Sie die begehrte „grüne Adresszeile“ mit Ihrem Firmennamen, was die empfundene Sicherheit beim Besucher erhöhen kann, weil es einfach deutlich auffälliger aussieht:

SSL Stufe 3: Extended-Validation

Wichtiges Update vom 14.8.2019: Die Browser mischen (oder zerstören?) den SSL-Markt auf: Sowohl Google Chrome als auch Firefox werden den praktisch grössten Vorteil von Stufe 3 Zertifikaten, den auffälligen grünen Firmennamen im Browser, in einer kommenden Version entfernen.

Auch die Browser Hersteller stellen den Nutzen der Stufe 2 und 3 Zertifikate also immer mehr in Frage. Denn wie ich im Artikel zu Beginn erklärt habe: Technisch bieten alle SSL Stufen die gleiche Sicherheit.

Preislich muss man ca. ab 250 CHF pro Jahr für ein Stufe 3 Zertifikat rechnen.

Meine (neue 2019) Empfehlung: Stufe 1 mit Let’s Encrypt

Meine Empfehlung ist simpel:

Für die allermeisten Websites reicht das Gratis SSL-Zertifikat der Stufe 1 (Domain Validierung) von Let’s Enrypt.

Wem die 300.- extra pro Jahr nicht weh tun und gerne die grüne Adresszeile mit seinem Firmennamen möchte, dem empfehle ich ein Stufe 3 Zertifikat (Erweiterte Validierung).

Entweder von einem der grössten Anbieter wie IdenTrust oder Comodo (aber auf keinen Fall irgendetwas von DigiCert, Symantec, GeoTrust, Thawte oder RapidSSL, wie im Artikel oben bereits erklärt), oder ganz einfach vom Schweizer Anbieter SwissSign.

Praxis-Tipp für die Einrichtung von SSL auf Ihrer Website (etwas, das häufig nicht gemacht wird): Sie sollten gleichzeitig auch HTTP Strict Transport Security (kurz „HSTS“) aktivieren, um die Sicherheit des SSL-Zertifikats weiter zu verbessern.

Welches SSL-Zertifikat verwenden Sie? Und welche Erfahrungen haben Sie mit den verschiedenen Anbietern gemacht?

Michael Brütsch

Webdesigner & WordPress Experte: Ich kreiere WordPress Websites, die Google liebt (aka Suchmaschinenoptimierung / SEO).

2 Gedanken zu „SSL-Zertifikat: Die 3 SSL-Stufen, welche Sie brauchen & warum es Pflicht ist“

  1. Ein wichtiger Grund wäre noch, dass Google Chrome (mit 65% Marktanteil) alle Seiten ohne https ab 2017 mit „unsicher“ kennzeichnet, die anscheinend Benutzer oder Kreditkartendaten beinhaltet, z.B. Kontaktseite. Google plant das auf alle Seiten ggfs. zu erweitern. In Deutschland mahnt das Bundesland Bayern inzwischen die Seiteninhaber dieser Seiten ohne Zertifikat schon ab. Das könnte sich mit der neuen EU Datenschutzgrundverordnung im Jahr 2018 und der Anpassung im Schweizerischen Datenschutzgesetz auch noch verschärfen.

    Antworten

    • Hallo Ingolf,

      Vielen Dank für Deinen Kommentar und die Ergänzung!

      Das Thema Google Chrome Warnung habe ich auch direkt im Artikel noch ergänzt. Zum leidigen rechtlichen Thema sage ich lieber nichts 😉

      Aber die Anpassungen im Schweizerischen Datenschutzgesetz versuche ich im Auge zu behalten (sollte eigentlich jeder Websitebetreiber). Mal sehen wer SSL zuerst zur Pflicht macht: Google oder das Gesetz.

      Und vor allem ob es im vernünftigen Rahmen bleibt (man denke an kleine Vereinswebsites etc.).

      Beste Grüsse,
      Michael

      Antworten

Schreibe einen Kommentar

Benachrichtigung bei neuen Kommentaren (wenn Du eine E-Mail erhalten willst, sobald ich Dir geantwortet habe):