Welche Rolle spielen SSL-Zertifikate für eine Website?

In der heutigen digitalen Welt ist die größte Sicherheitsbedrohung im Internet der Diebstahl von sensiblen, persönlichen Daten. Nutzer werden bei der Nutzung von Online-Shops, sozialen Netzwerken und Online-Banking zunehmend vorsichtiger. Die Anwendung eines SSL-Zertifikats, das in vielen Browsern über das Schloss in der Adresszeile gekennzeichnet wird, setzen die meisten Benutzer als Sicherheitsstandard voraus.

Was sind SSL-Zertifikate?

Secure-Sockets-Layer-Zertifikate, kurz SSL-Zertifikate, dienen der Verschlüsselung der Kommunikation zwischen dem Computer eines Internetnutzers und der jeweiligen Webseite. Sie schaffen die notwendige Grundlage für die allgemeine Sicherheit einer Homepage sowie den vertrauenswürdigen Umgang mit Benutzerdaten. Betreiber sollten daher SSL-Zertifikate kaufen, um diesen Sicherheitsstandard auf ihrer Webseite nachzuweisen.

Das Prinzip von SSL-Zertifikaten ist denkbar einfach. Gibt der Besucher eines Online-Shops beim Abschluss des Einkaufs persönliche, sensible Daten ein, werden sie durch das Verschlüsselungsprotokoll bei der Übermittlung an den Betreiber so verschlüsselt, dass die Informationen für Dritte unbrauchbar werden. Will der Betreiber der Seite das übersendete Datenpaket nach Ankunft wieder lesbar machen, benötigt er einen privaten Schlüssel. Dieser Key ist eine zufällige, beliebig lange Zahlenkombination. Unberechtigte Dritte erhalten daher nur kryptografisches Durcheinander, wenn sie die Daten bei der Kommunikation abgreifen.

Welche Arten von Zertifikaten gibt es?

Neben der Funktion der Kommunikationsverschlüsselung enthalten SSL-Zertifikate Informationen über den Besitzer der Webseite. Es werden drei Zertifikatstypen unterschieden, die in verschiedenen Sicherheitsniveaus resultieren.

• Domain-Validierung: Es wird keine Aussage über den Inhaber getroffen, sondern nur bestätigt, dass die Domain über ein Zertifikat verfügt.
• Organisationsbezogene Validierung: Der Inhaber der Domain weist seine Identität gegenüber einer unabhängigen Instanz durch den Handelsregisterauszug oder Gewerbeschein nach.
• Erweiterte Validierung: Diese höchste Sicherheitsstufe erfordert einen individuellen, persönlichen Identitätsnachweis.

Phishing-Webseiten nutzen meist höchstens eine DV-Validierung, um die Betreiberidentität zu verschleiern. Experten der Computerwoche kommen daher zu dem Schluss, dass identitätsgeprüfte Webseiten oft deutlich sicherer sind. Diese erkennen Nutzer an dem grünen Unternehmensnamen und Vorhängeschloss in der Adressleiste des Browsers.

Wann benötigen Domaininhaber ein SSL-Zertifikat?

Längst bringen Besucher von Online-Shops und Blogs den Betreiber nicht mehr blindes Vertrauen entgegen. MittelstandCafé berichtete bereits darüber, dass beispielsweise ein Viertel aller Kunden von e-Commerce-Seiten die Cookie-Hinweise ablehnen, um die gesammelten persönlichen Daten zu minimieren.

Seit 2018 ist die SSL-Technologie dort Pflicht, wo personenbezogene Daten erhoben werden. Dadurch soll der Schutz sensibler Daten wie Kreditkarteninformationen oder anderen personenbezogenen Daten wie Adressen gewährleistet werden. Darüber hinaus können Betreiber weitere Maßnahmen treffen, um Online-Shops vor Hacker-Angriffen zu schützen.

Um allgemeine Vertrauenswürdigkeit und Sicherheit der eigenen Homepage zu signalisieren, ist die Umstellung auf das Verschlüsselungsprotokoll auch für die Betreiber sinnvoll, die nicht von Gesetzeswegen zur Nutzung verpflichtet sind. Denn wer die SSL-Technologie nicht nutzt, wird von Browsern abgestraft und die eigene Seite in der Adresszeile als „nicht sicher“ abgestraft. Einige Besucher verunsichert das mit hoher Wahrscheinlichkeit.

SSL-Zertifikate sind unverzichtbar

Homepage-Betreiber, die ihre Webseite in den gängigen Browsern mit dem Vorhängeschloss als vertrauenswürdig kennzeichnen möchten, kommen um den Kauf eines SSL-Zertifikats nicht herum. Die Mehrheit der Internetnutzer setzen diesen Standard prinzipiell voraus und meiden unsichere Websites ohne entsprechende Zertifikate. Wer diese Anforderung nicht erfüllt, schadet dem Vertrauen, das Besucher der eigenen Webseite entgegenbringen und entsprechend auch den eigenen Besucherzahlen auf der Website.