SSL, TLS & HTTPS – Was du wissen musst
Was ist das und worin liegt der Unterschied?
Immer wieder hören wir von unseren Kunden âWarum ist meine Seite nicht sicher?â oder âWas ist SSL und wofĂŒr brauche ich das?â. Im Zuge dessen versuchen wir einige grundlegende Punkte zum Thema SSL bzw. TLS zu erklĂ€ren.
Was ist SSL und TLS?
SSL steht fĂŒr Secure Sockets Layer und ist ein VerschlĂŒsselungsprotokoll zur sicheren DatenĂŒbertragung im Internet, ebenso wie TLS.
TLS steht fĂŒr Transport Layer Security und ist das Nachfolgeprotokoll von SSL. Dies wurde notwendig da im Zeitverlauf schwĂ€chen in der InformationsĂŒbertragung mit Hilfe von SSL aufgekommen sind.
SSL und TLS bewirkt die VerschlĂŒsselung und Authentifizierung bei der Kommunikation zwischen Webserver und Browser mit dem der Nutzer auf die Seite zugreift. Der Server wird dabei immer authentifiziert, wĂ€hrenddessen die Authentifizierung des Client optional ist. Ist eine Webseite SSL verschlĂŒsselt zeigt Dir das fĂŒr gewöhnlich ein Schloss Symbol im Browser an.
AuĂerdem greifst Du im Falle der SSL VerschlĂŒsselung mit der sicheren Variante des Hypertext Transfer Protocols auf die Webseite zu, also mit âHTTPSâ. Hierbei ist anzumerken das HTTPS kein eigenstĂ€ndiges Protokoll ist, sondern lediglich die Verwendung von SSL oder TLS in Kombination HTTP kennzeichnet.
Verbindungsaufbau mit SSL bzw. TLS
Mit einem sog. Handshake Protokoll wird der VerschlĂŒsselungsalgorithmus und der SchlĂŒssel zwischen Server und Client ausgehandelt. Der Handshake stellt eine einfache Synchronisationsmethode dar. Zwei Beteiligte einer DatenĂŒbertragung wenden unmittelbare Quittungssignale, die in einem Protokoll definiert sind, an.
Man-in-the-middle Angriff
Ein sog. âMan-in-the-middle-Angriffâ ist eine Angriffsform in der Informationstechnologie, die in Rechnernetzen eingesetzt wird. Der Angreifer befindet sich dabei meist logisch, in seltenen FĂ€lle auch physisch, zwischen den Netzwerkteilnehmern. Der Angreifer wartet in der Regel ab, bis der Server authentifiziert ist und ĂŒbernimmt dann die Verbindung. Er tĂ€uscht nun vor der jeweils andere Kommunikationspartner zu sein. Damit hat er vollstĂ€ndigen Zugriff auf den Datenverkehr und kann diesen einsehen und ggf. sogar manipulieren.
Warum sollte ich SSL oder TLS verwenden?
Generell sollte, sobald ein Austausch persönlicher Daten stattfindet, ein VerschlĂŒsselungsprotokolle angewendet werden. Gerade im E-Commerce, als auch im Gesundheitswesen ist eine Anwendung von SSL / TLS ein Mindeststandard und unbedingt einzuhalten.
SSL garantiert dem Nutzer und dem Anbieter, dass die Vertraulichkeit und IntegritÀt eingehalten bzw. gewahrt wird.
Durch die IntegritÀt wird dem Nutzer und Anbieter garantiert, dass die Daten unverfÀlscht ausgetauscht werden können. Das bedeutet, weder eine Preisangabe noch eine Bestellung kann durch einen Angreifer verfÀlscht werden. Auch die Vertraulichkeit ist ein zentrales Schutzziel in der gesamten IT Sicherheit. Die Wahrung der Vertraulichkeit sollte immer höchste PrioritÀt haben. Andernfalls können bspw. Zahlungsdaten in Hinblick auf den E-Commerce Bereich offengelegt werden.
Auch in Hinblick auf die Suchmaschinenoptimierung ist eine SSL VerschlĂŒsselung nicht zu vernachlĂ€ssigen. Eine SSL VerschlĂŒsselung nimmt nachweislich ein positiven Einfluss auf das Ranking einer Webseite und wird auch deswegen immer von uns empfohlen.
Worauf sollte ich bei der Auswahl eines SSL Zertifikats achten?
Aufgrund der hohen Verbreitung und Wichtigkeit von SSL Zertifikaten, gibt es entsprechend eine Vielzahl von Anbietern. Die drei wichtigsten Typen erklÀren wir euch nachfolgend.
Domain Validation
Mit diesem Zertifikat wird die Domain verifiziert. Das bedeutet der Antragsteller, ist tatsÀchlich der Inhaber der Domain. Die meisten Nutzer im Web nutzen diese Art von Zertifikat. Diese Zertifikate sind meist kostenfrei und innerhalb weniger Minuten ausgestellt. Allerdings bieten sie ein eher geringes Sicherheitslevel.
Organisation Validation
Diese Methode verifiziert, wie bei der Domain Validation, ob der Inhaber der Domain auch Antragsteller des Zertifikats ist. Dazu wird eine IdentitĂ€tsprĂŒfung des Inhabers vorgenommen. Wenn Du Deine Seite absichern willst, ist das eine gute Option.
Extended Validation
Bei diesen Zertifikaten wird neben der PrĂŒfung der Domain Inhabers und dessen IdentitĂ€t, auch genauere bzw. weitere Kriterien geprĂŒft. Dieser Zertifikatstyp eignet sich vor allem fĂŒr gröĂere Onlineshops und groĂe Corporate Webseiten, welche den strengen Vergabekriterien entsprechen und dem Nutzer eine möglichst hohe Sicherheit geben möchten.
WordPress und SSL
Wenn Du Hilfe bei der Einrichtung des SSL Zertifikats, insbesondere bei der Einrichtung in einer WordPress Webseite benötigst, kannst Du uns gerne ansprechen. Wir helfen Dir gerne weiter.
Fragen? Schreib mir!
Weitere Artikel zum Thema
0 Kommentare