Was ist SSL?

Name: Was ist SSL?
Brand: OVHcloud
Rating: 4.8 (476 reviews)

Das SSL-Protokoll (Secure Sockets Layer) stellt eine verschlüsselte Verbindung zwischen einem Browser und einem Webserver her, sodass alle Daten, die zwischen den beiden übertragen werden, vertraulich bleiben. Das SSL-Protokoll ist der Vorläufer des TLS-Protokolls (Transport Layer Security), aber SSL ist nach wie vor bekannter und wird weiterhin mehr verwendet.

Was bedeutet Secure Sockets Layer und warum ist es wichtig?

Zunächst ist es wichtig, sich zu verdeutlichen, was vor der Einführung des SSL-Protokolls im Jahr 1995 geschah. Vorher wurden alle Daten im Klartext übertragen, wenn der Browser eines Kunden eine Verbindung zum Server eines Unternehmens herstellte. Das bedeutet, dass ein böswilliger Akteur, der die Daten während der Übertragung abfing, sie auch lesen konnte – einschließlich Kreditkartendetails und andere sensible Informationen. Ein solcher Hack wurde als „Man-in-the-Middle-Angriff“ bezeichnet.

Um diesen „Mann“ dauerhaft unschädlich zu machen, entwickelte der Browser-Entwickler Netscape in den 90er-Jahren das Internetsicherheitsprotokoll Secure Sockets Layer. Das Unternehmen war entschlossen, ein Protokoll zu entwickeln, das den Datenschutz und die Integrität der Daten gewährleistet und einen vertrauenswürdigen Authentifizierungsprozess sowohl für die Nutzer:innen des Browsers als auch für den Server-Eigentümer, d. h. die Kund:innen und das Unternehmen, bereitstellt.

Und mit dem SSL-Protokoll, das von Unternehmen auf der ganzen Welt eingeführt wurde, um die Interaktionen ihrer Kund:innen zu unterstützen und abzusichern, ist Netscape genau das gelungen. Und der „Man in the Middle“? Wenn er Daten bei der Übertragung abfängt, sorgt Secure Sockets Layer dafür, dass er nur eine willkürliche Aneinanderreihung von Zeichen sieht. So wird er effektiv aus dem Spiel genommen.

Was ist der Unterschied zwischen SSL und TLS?

Für die meisten Menschen gibt es keinen großen Unterschied. 1999 wurde Transport Layer Security (TLS) eingeführt, um die SSL-Verschlüsselung zu ersetzen. TLS bietet aktualisierte Sicherheitsfunktionen, mit denen beispielsweise bekannte SSL-Schwachstellen bei bestimmten Angriffen ausgeräumt und bessere Verschlüsselungsalgorithmen eingeführt werden. Obwohl nun jedes Gerät TLS verwendet – eigentlich ist die SSL-Verschlüsselung nicht mehr verfügbar –, wird im Großteil der IT-Welt und bei den meisten Zertifizierungsanbietern nach wie vor der Name SSL verwendet. Das liegt daran, dass SSL mittlerweile zu einem festen Bestandteil der Datensicherheit geworden ist. Deshalb verwenden wir hier und auf unseren Produktseiten die Bezeichnung SSL, obwohl wir eigentlich über TLS sprechen.

Wie erkennt man, ob eine Website durch SSL-Verschlüsselung geschützt ist?

Es gibt zwei Dinge, die auf eine SSL-Verschlüsselung hinweisen. Das erste ist ein Vorhängeschlosssymbol im Browser-Adressfenster, in der Regel links neben der Webadresse. Wenn Sie es anklicken, erhalten Sie Informationen über die Version des SSL-Zertifikats der Site und haben die Möglichkeit, sich das Secure Sockets Layer-Zertifikat selbst anzusehen. Darin ist das Ablaufdatum des Zertifikats enthalten. Wenn das SSL-Protokoll veraltet ist, ist es nicht mehr aktiv. Nutzer:innen sollten die Website also sofort verlassen. Zweitens sehen Sie vor der Webadresse nicht „http://“ sondern „https://“. Das „s“ bedeutet, dass das SSL-Protokoll vorhanden und die Verbindung mit SSL abgesichert ist.

Wie funktioniert das SSL-Protokoll?

Um die Authentizität zu gewährleisten, leitet Secure Sockets Layer bei Verbindungsversuchen einen „Handshake“-Prozess zwischen Browser und Server ein. Dies ist in sechs Schritte unterteilt:

1. Clientseitiges „Hallo“

Die Kund:innen (Client) verwenden ihren Webbrowser, um eine Verbindung zum SSL-Server der Unternehmenswebsite herzustellen. Bevor eine Verbindung hergestellt werden kann, fordert der Browser zuerst die Identifizierung des Servers an. Im Grunde sagt der Client „Hallo“.

2. Serverseitiges „Hallo“

Um sich gegenüber dem Browser zu identifizieren, sendet die Website Details ihres SSL-Zertifikats sowie den öffentlichen Schlüssel ihres Servers. So sagt der Server „Hallo“ zurück.

3. Zertifikatsprüfung

Der Websitebrowser authentifiziert dieses Zertifikat automatisch anhand einer Liste vertrauenswürdiger Secure Sockets Layer-Zertifizierungsstellen, um das SSL-Zertifikat zu überprüfen.

4. Sitzungsschlüssel

Wenn die Überprüfung des SSL-Zertifikats erfolgreich verläuft, weiß der Browser, dass der Server vertrauenswürdig ist. Daher erstellt er über den öffentlichen Schlüssel des Servers einen symmetrischen Sitzungsschlüssel, der an den Server gesendet wird.

5. Schlüsselentschlüsselung

Der Server der Website empfängt den Sitzungsschlüssel und entschlüsselt ihn, bevor er eine Bestätigung zurücksendet, die ebenfalls mit dem Sitzungsschlüssel des Clients verschlüsselt wird.

6. Sitzungsstart

Nach dem „digitalen Handshake“ kann die Sitzung offiziell beginnen. Alle Daten, die zwischen dem Kunden-Browser und dem Server des Unternehmens übertragen werden, sind nun mit SSL verschlüsselt.

Warum ist Secure Sockets Layer wichtig für Unternehmen?

Ein Wort: Vertrauen. Den Kund:innen wird signalisiert, dass das Unternehmen die Datensicherheit ernst nimmt. Das stärkt wiederum das Vertrauen auf Kundenseite und erhöht die Wahrscheinlichkeit, dass sie eine Bestellung aufgeben. Anders ausgedrückt: Wenn ein Unternehmen nicht zertifiziert ist, klingt für die Kund:innen mit, dass ihre Ängste und Bedenken in Bezug auf die Onlinesicherheit für das Unternehmen nicht von Bedeutung sind. Das lässt das Unternehmen nicht gut aussehen.

Die SSL-Sicherheitszertifizierung bedeutet für Unternehmen auch eine gewisse Sorgenfreiheit. Das SSL-Protokoll verringert die Wahrscheinlichkeit von Datenschutzverletzungen erheblich und verringert die Zugriffsmöglichkeiten für unbefugte User durch Hacking-Versuche wie Phishing-Angriffe.

Auch Suchmaschinenanbieter wie Google erachten einen SSL-Layer als wichtig und ordnen Unternehmen mit SSL-Sicherheit womöglich weiter oben in den Suchergebnissen ein. Außerdem gibt es kommerzielle und behördliche Vorgaben. Wenn ein Unternehmen beispielsweise auf seiner Website Zahlungen per Kreditkarte ermöglicht, ist eine SSL-Zertifizierung erforderlich, um die Sicherheitsstandards der Branche zu erfüllen (auch Payment Card Industry Compliance genannt).

Bestimmte Gebiete haben auch Vorschriften, die von Unternehmen angemessene Maßnahmen für die Datensicherheit verlangen. Werden diese Maßnahmen nicht ergriffen, kann das Unternehmen möglicherweise rechtlich belangt werden. Das kann auch Geldbußen beinhalten. Mit anderen Worten: SSL-Sicherheit und das SSL-Protokoll sind im heutigen Zeitalter des E-Commerce unerlässlich. Ohne SSL ist ein Unternehmen verschiedenen finanziellen, Sicherheits- und Reputationsrisiken ausgesetzt.

Was sind die verschiedenen SSL-Typen?

Die Frage „Was bedeutet SSL?“ wurde beantwortet. Nun ist es an der Zeit, die verfügbaren Typen genauer zu beleuchten. Je nach Art und Anforderungen des Unternehmens stehen verschiedene SSL-Zertifikate zur Verfügung. Für jedes SSL-Angebot muss das Unternehmen einen Validierungsprozess durchlaufen, um zu überprüfen, ob es Eigentümer der Domain ist, und in einigen Fällen umfassende Details zu seiner Organisation bereitstellen. Es gibt die folgenden Zertifikattypen:

Extended-Validation-SSL-Zertifikat

Diese Version von Secure Sockets Layer ist für jedes Unternehmen unerlässlich, das die Legitimität seiner Website herausstellen möchte, um das Vertrauen der Besucher:innen zu erhöhen. Um sie zu erhalten, muss das Unternehmen einen Validierungsprozess durchlaufen, in dem nachgewiesen wird, dass es Inhaber der zu zertifizierenden Domain ist. Dieses SSL-Zertifikat ist für jedes Unternehmen entscheidend, das auf seiner Website Finanzprozesse ausführen oder hochsensible Daten erfassen möchte.

Organization-Validated-SSL-Zertifikat

Diese Art von Secure Sockets Layer eignet sich nicht für Finanztransaktionen, sondern dient der Verschlüsselung von Nutzeraktivitätsdaten, die zwischen dem Server und dem Webbrowser übertragen werden.

Domain-Validation-SSL-Zertifikat

Diese Version des SSL-Zertifikats bietet nur Low-Level-Verschlüsselung. Da Sie nicht wissen, wer oder was Ihre verschlüsselten Daten empfängt, ist es ein Basisangebot, das nur für Blogs und persönliche Websites geeignet ist. Diejenigen, die eine hervorragende SSL-Verschlüsselung benötigen, sollten sich nach etwas anderem umsehen.

Wildcard-Validation-SSL-Zertifikat

Mit diesem Secure Sockets Layer können Unternehmen das SSL-Protokollzertifikat, das sie für ihre Domain erworben haben, auch auf allen Subdomains verwenden. Dies ist eine kostengünstigere Alternative zum Kauf eines Zertifikats für jede einzelne Subdomain.

Unified-Communications-SSL-Zertifikat

Diese Version von Secure Sockets Layer bietet eine SSL-Zertifizierung für mehrere Domains, die im Besitz des Unternehmens sind. Bis zu 100 Domains können mit einem einzigen Zertifikat abgedeckt werden.

Wie kann ich mir ein SSL-Zertifikat sichern?

Nutzen Sie den folgenden Prozess, um sich erfolgreich ein SSL-Zertifikat für ein Unternehmen zu sichern:

Wählen Sie die gewünschte Version des SSL-Zertifikats aus. Wie oben ausgeführt, erfüllen die verschiedenen Zertifikate spezifische Anforderungen. Es ist wichtig, zu verstehen, was SSL-Verschlüsselung ist, und die Definition von SSL zu kennen, bevor eine Wahl getroffen wird.
Sichern Sie sich private und öffentliche Schlüssel. Diese können auf Ihrem Server generiert werden. Die Schlüssel werden als Teil einer Zertifikatsignieranforderung (Certificate Signing Request, CSR) benötigt, die zum Starten des SSL-Zertifizierungsprozesses verwendet wird. Die CSR enthält in der Regel Angaben zum Namen, Standort, Typ und zur Größe des Unternehmens sowie seinen Domainnamen.
Senden Sie die CSR an eine Zertifizierungsstelle (Certificate Authority) und achten Sie darauf, eine öffentlich vertrauenswürdige Zertifizierungsstelle zu wählen. Befolgen Sie nach dem Kauf die Anweisungen der Zertifizierungsstelle, um das neue Secure Sockets Layer-Zertifikat auf dem Server zu installieren. Das beinhaltet auch das Hochladen und Testen des Zertifikats. Danach sind Sie startklar.
Denken Sie daran, dass alle SSL-Protokollzertifikate unabhängig von der Version Ablaufdaten haben. Sie sollten also wissen, wann Ihr Zertifikat abläuft. Andernfalls werden den Kund:innen Sicherheitswarnungen in ihren Webbrowsern angezeigt, die besagen, dass die Website nicht SSL-gesichert ist, was wiederum das Vertrauen beeinträchtigt.

OVHcloud und SSL

Sicherheit in der Cloud ist entscheidend. Aus diesem Grund bieten wir einfachen Zugang und vereinfachte Validierungsprozesse für alle Ihre SSL-Protokollanforderungen. Außerdem können wir Sie dahingehend beraten, welches SSL-Angebot sich für Ihre spezifischen Anforderungen am besten eignet. OVHcloud bietet seinen Kunden weitere wichtige Sicherheitsfunktionen, damit Ihr gesamtes Unternehmen vom Neuesten in Sachen Cybersicherheit profitieren kann.

SSL sichern

Mit OVHcloud und seiner breiten Palette an SSL-Zertifikaten können Sie das Vertrauen Ihrer Besucher:innen gewinnen, sensible Daten auf Ihrer Website mit dem neuesten SSL-Protokoll schützen, E-Commerce-Transaktionen verschlüsseln und Ihre SEO verbessern.

Mehr Sicherheit

Cyberangriffe gefährden Ihre Infrastruktur und können zu Dienstunterbrechungen oder -ausfällen führen. Die Lösung für Netzwerksicherheit von OVHcloud trägt zur Eindämmung dieses Risikos bei. Dank verschiedener Sicherheitsebenen wie die SSL-Zertifizierung, der Schutz der Infrastruktur, die Sicherheit von Hosts und Diensten und mehr können Sie sich auf das konzentrieren, was wirklich wichtig ist: Ihr Geschäft.