Security für Webshops: SSL-Zertifikate und ihre Unterschiede

Vom „alten Online-Shop-Hasen“ bis zum Frischling in der Materie ist es bekannt: Sicherheit für Kunden ist nicht nur ein absolutes Muss, sondern stärkt das Vertrauen und führt zu einer enormen Bindung zum Shop. Dieses Sicherheitsgefühl betrifft unter anderem das Wissen um die Möglichkeiten von Rücksendungen, einen hilfreichen Kundensupport sowie verständliche und erfüllte Datenschutzvereinbarungen. Aber auch SSL-Zertifikate tragen immens zum Sicherheitsgefühl der Kunden bei – die Adressleiste des Browsers gibt mittlerweile Auskunft über die Anwendung von Zertifikaten. Im Folgenden stellen wir Ihnen verschiedene SSL-Varianten vor und erklären weitere Details – für mehr Sicherheit in Ihrem Shop und eine höhere Bindung Ihrer Kunden an Sie.

Was sind SSL-Zertifikate?

Um zwei Endpunkten einen sicheren Datenaustausch zu gewährleisten, stellt das SSL-Protokoll einen Kanal dar. SSL (Secure Sockets Layer) bildet hauptsächlich eine Absicherung zwischen Webservern und Webbrowsern; findet also dann Einsatz, wenn wenn über das eigentlich unsichere Internet sensible Informationen sicher ausgetauscht werden sollen. Sämtliche Aktivität geht bei der Anwendung vom Shopbetreiber aus, der Anwender selbst muss keine Interaktion zeigen. SSL erkennt man an folgenden Kriterien: In der Adressleiste des Browsers findet sich ein kleines Sicherheitsschloss. Und dem „HTTP“ der Adresszeile ist ein „S“ zugefügt, sodass „HTTPS“ in der Adressleiste steht. Sehen wir uns das an einem prominenten Beispiel an:

Viele Details und Hintergründe über SSL zeigt eine interaktive Visualisierung vom Institut für Telematik. Die Varianten, die der SSL-Markt bereithält, können leicht in die Irre führen, so vielfältig sind sie mittlerweile. Es gilt, für den konkreten Bedarf das richtige SSL-Zertifikat auszuwählen – mit den detaillierten Unterschieden kommen auch immense preisliche Varianten zum Vorschein. Im Groben unterscheiden sich SSL-Zertifikate in …

  • … der Stärke ihrer Verschlüsselung, wobei der Standard bei 128 Bit oder 256 Bit liegt.
  • … der Validierung, dazu gleich mehr.
  • … der Browserkompatibilität und -akzeptanz.
  • … der Zertifikatsart: Single, Wildcard (Haupt- und Subdomain) oder Multidomain.

Drei SSL-Varianten

Grundsätzlich lassen sich SSL-Zertifikate in drei unterschiedliche Varianten einteilen: Domainvalidierte, organisationsvalidierte und Extended Validation-Zertifikate. Domainvalidierte Zertifikate sind die, die am häufigsten verbreitet sind. Sie eignen sich für kleine Webseiten, für Foren, Blogs oder das Intranet sowie für Mailserver. Die Domain wird via E-Mail zertifiziert, indem ein E-Mail-Robot an eine WHOIS- oder eine alternative Adresse eine Nachricht schickt und so die Zertifikatsbestellung zu bestätigen. Bedeutet: Die Zertifizierungsstelle prüft, ob der Auftraggeber auch Domaininhaber ist. Wird die E-Mail bestätigt, kann das SSL-Zertifikat binnen weniger Minuten ausgestellt werden.

Das organisationsvalidierte SSL-Zertifikat ist für Webshops, Unternehmensseiten und Webmail-Anbieter das richtige. Neben dem Domaincheck wie beim domainvalidierten Zertifikat findet eine Identitätsprüfung statt. Unternehmen weisen mit entsprechenden Dokumenten nach, dass sie Domaininhaber sind. Die Identitätsprüfung unterscheidet sich je nach Zertifikatsanbieter: In aller Regel wird ein Auszug aus dem Handelsregister angefordert, die Kontodaten werden abgeglichen und es wird Kontakt per Telefon aufgenommen. Anschließend werden Teile dieser Informationen mit dem WHOIS-Eintrag abgeglichen. Neben dem Domainnamen werden mit einem Klick auf dem Schloss in der Adressleiste bei diesem Zertifikatstyp der Unternehmensname sowie der Ort angezeigt.

Das Extended Validation-Zertifikat wird in aller Regel von Behörenseiten genutzt, um schon optisch, vor allem aber technisch höchstes Vertrauen und Sicherheit zu gewährleisten. Man setzt beim Extended Validation-Zertifikat grundsätzlich auf 256 Bit-Verschlüsselung. Daneben erzielen diese Zertifikate die höchste Browserakzeptanz. Man erkennt sie an der grünen Adressleiste und daran, dass der Domain-, Unternehmensname und der Ort angezeigt werden.

Das Extended Validation-Zertifikat kann nur ausgestellt werden, wenn der Zertifikatsinhaber in einem öffentlichen Register, etwa dem Handelsregister, eingetragen ist. Daneben muss der Unterzeichner der nötigen Dokumente telefonisch bestätigen, dass er seine Unterschrift gegeben hat. Domaincheck und Identitätsprüfung verlaufen wie beim organisationsvalidierten Zertifikat ab.

Wie funktioniert der Schlüsseltausch?

Als Online-Shop-Inhaber werden Sie also das organisationsvalidierte SSL-Zertifikat nutzen. Der Schlüsselaustausch erfolgt über das asymmetrische Verfahren RSA. Die folgenden Schritte zeigen – vereinfacht dargestellt – wie die Kommunikation zwischen Browser und Server funktioniert:

  • Der Anwender ruft die Webseite auf, beispielsweise https://www.psw.net/.
  • Der Server schickt auf diese Anfrage hin einen öffentlichen Schlüssel zurück an den Browser, der im obigen Beispiel von VeriSign als eine von verschiedenen vertrauenswürdigen Zertifizierungsstellen bestätigt wurde.
  • Nun überprüft der Browser die Signatur der Zertifizierungsstelle, in unserem Beispiel VeriSign, und kann damit sichergehen, dass er wirklich mit https://www.psw.net/ als Gegenstelle kommuniziert. Dank dem öffentlichen Schlüssel können sämtliche Nachrichten an die Gegenstelle (den Server) verschlüsselt werden.
  • Ausschließlich der Server kann diese Nachrichten entschlüsseln (Ende-zu-Ende-Verschlüsselung), denn nur er verfügt über den privaten Schlüssel (Private Key). Über den öffentlichen Schlüssel (Public Key) schlägt der genutzte Browser einen geheimen Schlüssel für die Sitzung vor.
  • Der Server bestätigt diesen Geheimschlüssel und eine zusätzlich mit einer symmetrischen Verschlüsselung (etwa AES) gesicherte Kommunikation übers normale HTTP-Protokoll kann beginnen.

Heißt: Mittels SSL-Verschlüsselung wird zunächst asymmetrisch, dann symmetrisch verschlüsselt. Das eben beschriebene Verfahren basiert auf Forward Secrecy, bei dem der Sitzungsschlüssel zwischen Browser und Server ausgetauscht wird.

Welche Anbieter und Preisgestaltungen gibt es?

Es gibt zahlreiche Zertifizierungsstellen (sogenannte certificate authority, CA), die sich auf verschiedene Länder verteilen. Sowohl die Ausstellung über eine europäische Zertifizierungsstelle (z. B. SwissSign) als auch die über US-amerikanische CAs (z. B. Comodo) ist möglich. Angesichts aktueller Berichterstattung über Geheimdienste wie NSA setzen immer mehr auf europäische Zertifizierungsstellen. Die Preise für organisationsvalidierte Einzelzertifikate beginnen ab 49 € pro Jahr und können sich, je nach Anforderungen wie unter „Was sind SSL-Zertifikate?“ beschrieben, auf 300 € pro Jahr steigern. Sprechen Sie am besten mit dem Support eines Anbieters Ihres Vertrauens und lassen Sie sich beraten. Den Support der PSW GROUP erreichen Sie hier.

Fazit

Sicherheit ist wichtig – für Sie und für Ihre Kunden. Für Sie als Shopbetreiber lohnen sich organisationsvalidierte Zertifikate. Ihre Webseitenbesucher können mit einem Klick aufs Schloss sehen, wer genau hinter dem Webshop steckt und wo dieser sitzt. Erlauben Sie Ihren Kunden, Ihnen ihr vollstes Vertrauen zu schenken, und gönnen Sie sich das Image eines sicheren Webshops.

Dieser Beitrag wurde unter Blogs und Blogger abgelegt am von .

Über Tom Adebahr

Ich brenne für den E-Commerce und habe das Glück in einem spannenden Internet-Unternehmen in leitender vertrieblicher Position angestellt zu sein. Ein Faktor für meine überdurchschnittliche Motivation war schon immer meine Einstellung zur Arbeit. Ich habe viel Freude an dieser und genieße es, ins Büro zu fahren und das eigene Wissen um das meiner Kollegen zu ergänzen, um im Team effizient und erfolgreich zu sein.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *