Bei SSL-Zertifikaten handelt es sich um kleine Datendateien. Sie dienen dazu, einen einzigartigen kryptografischen Schlüssel digital an eine Organisation und deren Details zu binden. Typischerweise installiert man ein SSL-Zertifikat auf einem Webserver. Hier dient es dazu, das Sicherheitsschloss sowie das https-Protokoll zu aktivieren und mit dessen Hilfe den Port 443 zur Kommunikation zu nutzen. Auf diese Weise ermöglicht das SSL-Zertifikat sichere Verbindungen von einem Webserver zu einem Browser, der typischerweise von Clients genutzt wird. Man verwendet ein SSL-Zertifikat unter anderem, um eine sichere Verschlüsselung bei Datenübertragungen, Kreditkartentransaktionen und Logins auf Websites zu erzielen. Auch auf vielen Social Media Seiten nutzt man SSL-Verschlüsselung, um sicheres Browsen zu ermöglichen.

SSL-Zertifikat als Garant für sichere Übertragung

Im Zusammenhang mit der sicheren Datenübertragung von und zu einer Website ist oft von einem Zertifikat die Rede. Doch worum handelt es sich dabei überhaupt und wie trägt ein SSL-Zertifikat dazu bei, dass verschlüsselte Senden und Empfangen von Daten im World Wide Web zu ermöglichen?

Was beinhaltet ein SSL-Zertifikat?

SSL-Zertifikate dienen dazu, einen Domainnamen bzw. einen Server- oder Hostnamen an eine Organisationsidentität zu binden. Dabei handelt es sich um den Unternehmensnamen und den Standort des Unternehmens. Um sichere Sitzungen mit gängigen Webbrowser zu ermöglichen, ist es notwendig, dass das betreffende Unternehmen bzw. die Organisation das SSL-Zertifikat auf seinem bzw. ihrem Webserver installiert. Sobald dies geschehen ist, haben Clients mittels eines Browsers die Möglichkeit, eine sichere Verbindung mit dem Webserver herzustellen. Dies ist möglich, weil das Zertifikat dem Server befiehlt, diese Verbindung zuzulassen. Ist die sichere Verbindung mit dem Webserver des Unternehmens erst einmal hergestellt, st der gesamte Datenverkehr zwischen Browser und Server sicher, das heißt verschlüsselt.

Woran kann man erkennen, dass eine Website ein SSL-Zertifikat besitzt?

Alle gängigen Webbrowser zeigen dem Nutzer in oder in der Nähe der Adresszeile an, ob die aktuelle Verbindung zu einem Webserver sicher ist. Einerseits weist bereits das „https“ in einer Webadresse darauf hin, dass es sich um eine Verbindung handelt, die durch ein SSL-Zertifikat gesichert ist. Darüber hinaus erscheint bei einer gesicherten Verbindung ein Schloss-Symbol in der Adresszeile. Sobald dieses Schloss geschlossen dargestellt wird, ist die Verbindung zum Server gesichert und alle Daten werden verschlüsselt übertragen.

Mehr zum Thema:
Was ist MD5?

Welche Voraussetzungen müssen für den Erhalt eines SSL-Zertifikats erfüllt sein

Ehe ein SSL-Zertifikat an ein Unternehmen oder eine Organisation erteilt wird, muss diese verschiedene Stufen der Überprüfung bestehen. Abhängig vom Typ des beantragten Zertifikats kommen hierbei unterschiedliche Prüfverfahren zur Anwendung. Erst wenn alle Überprüfungen erfolgreich waren, wird das SSL-Zertifikat erteilt und kann anschließend von der Organisation auf dem eigenen Webserver installiert werden.

Welcher Grad der Verschlüsselung erfolgt mit einem SSL-Zertifikat?

SSL-Zertifikate sichern den Datenaustausch zwischen Server und Browser mithilfe unterschiedlich starker Verschlüsselungsalgorithmen. Die derzeit sicherste Art der Verschlüsselung wird mithilfe einer 2048-Bit Technologie erzielt.

Wo können die Details eingesehen werden?

Als Verbraucher kann man sich die Details zum SSL-Zertifikat einer Website anzeigen lassen, indem man auf das Sicherheitsschloss in der Adresszeile klickt und den Menüpunkt „Zertifikat anzeigen“ anklickt. Indem man sich den Zertifizierungspfad für ein SSL-Zertifikat anzeigen lässt, erhält man die Möglichkeit, sich über das verwendete Root-Zertifikat zu informieren.

Was ist ein Root-Zertifikat?

Bei einem Root-Zertifikat handelt es sich um das Zertifikat einer vertrauenswürdigen Zertifizierungsstelle, die berechtigt ist, mit seiner Hilfe SSL-Zertifikate für Organisationen zu generieren. Nur wenn das betreffende Root-Zertifikat auf dem Computer des jeweiligen Endbenutzers vorhanden ist, wird diesem Zertifikat vertraut. Ist dies nicht der Fall, gibt der Browser die Fehlermeldung für eine nicht vertrauenswürdige Website aus. Dies kann zu schnellem Vertrauensverlust, vor allem im E-Commerce-Bereich führen. Daher ist stets darauf zu achten, dass ein SSL-Zertifikat auf einem vertrauenswürdigen Root-Zertifikat beruht.

Das SSL-Zertifikat im Zusammenhang mit der Verwundbarkeit einer Website

 

Spricht man über die Verwundbarkeit / Vulnerability einer Website, so ist deren Anfälligkeit gegenüber Angriffen durch Hacker gemeint. Diese kann unter anderem dadurch entstehen, dass ein veraltetes SSL-Zertifikat bzw. eine ältere Version von SSL verwendet werden. Hierdurch kann es einem Angreifer gelingen, sensible Daten von der Website zu erhalten, die eigentlich verschlüsselt und sicher übertragen werden sollten. Aus diesem Grund ist es wichtig, stets die aktuellste Version von SSL sowie ein aktuelles SSL-Zertifikat zu verwenden.

SSL und die Cipher Suite

Ist von einem SSL-Zertifikat die Rede, wird dabei häufig der Begriff Cipher Suite verwendet. Hierbei handelt es sich um nicht anderes als den kompletten Satz an Algorithmen, die notwendig sind, um eine Netzwerkverbindung mittels SSL zu verschlüsseln. Unter anderem zählen hierzu die Algorithmen zum Schlüsselaustausch, für die Authentifizierung sowie für die Massenverschlüsselung. Somit dient die Cipher Suite dazu, wann mithilfe eines SSL-Zertifikats welche Ver- und Entschlüsselungsverfahren angewandt werden.

Mehr zum Thema:
Seminarreihe der SYNAXON AG bei der Biteno GmbH
Letzte Artikel von Daniel Faust (Alle anzeigen)