SSL-Zertifikat - Was ist das?
Mit einem SSL-Zertifikat sichern Sie Ihre Domain ab und bieten Nutzern eine verschlüsselte Datenübertragung an. Doch wie funktioniert SSL überhaupt?
(Bild: wk1003mike/Shutterstock.com)
- Michael Mierke
Seiten im Internet, auf denen private Daten wie z.B. Bankdaten angegeben werden, sind empfindlich gegenüber Angriffen von außen. Die Informationen sollten bestmöglich verschlüsselt sein. Die Lösung in diesem Fall lautet: SSL-Zertifikat. SSL – kurz für Secure Sockets Layer – verschlüsselt die aufgebaute Verbindung zur Webseite im Browser und verhindert, dass Dritte den Datenverkehr abhören. Wie die Technologie funktioniert und wann Sie ein Zertifikat brauchen, erfahren Sie in diesem Beitrag.
Was ist ein SSL-Zertifikat?
Ein SSL-Zertifikat ist einfach ausgedrückt ein Verschlüsselungsprotokoll zur sicheren Datenübertragung im Internet. Vielleicht ist Ihnen schonmal aufgefallen, dass beim Aufruf von Webseiten HTTPS verwendet wird. Für die Verschlüsselung im Hintergrund, also die Sicherheit, sorgt allerdings das eine Ebene tiefer beheimatete Protokoll SSL. Diese digitalen SSL-Zertifikate stellen eine verschlüsselte Verbindung zwischen Ihrem Browser und dem Server der besuchten Webseite her. Tauschen Sie etwa sensible Daten mit dem Server aus – wie z.B. Kreditkarteninformationen – sind diese vor nicht autorisierten Personen durch SSL geschützt. Möchten Sie die genaue Funktionsweise der Sicherheitstechnologie verstehen, dann werfen Sie einen Blick auf den nächsten Abschnitt.
SSL steht für Secure Sockets Layer und ist streng genommen ein veraltetes Protokoll. Inzwischen arbeiten Zertifikate mit dem neueren und insbesondere sicheren TLS, was für Transport Layer Security steht. Im allgemeinen Sprachgebrauch und in der Praxis wird aber weiterhin von SSL-Zertifikaten gesprochen, wenn eine Domain verschlüsselt wird.
Zusammenfassend sollten Sie sich merken, dass das Zertifikat sozusagen als verbindlicher Identitätsnachweis dient. Runtergebrochen ist ein SSL-Zertifikat ein simpler Datensatz, der eindeutig identifizierbare Informationen enthält. Die Ausstellung dieses Zertifikats erfolgt übrigens durch eine offizielle Zertifizierungsstelle, die sogenannte Certification Authority (CA).
Wie funktioniert ein SSL-Zertifikat?
Ein SSL-Zertifikat stellt die Identität einer Webseite sicher und verschlüsselt den Datenverkehr. Spricht man von Verschlüsselung wird dementsprechend auch ein Schlüssel benötigt, um die Daten wieder zu entschlüsseln. Die Zertifikate verwenden eine sogenannte Kryptografie mit öffentlichen Schlüsseln.
Diese Art von Kryptografie verwendet exakt zwei Schlüssel: einen Public Key und einen Private Key. Folglich ein öffentlicher Schlüssel und ein privater Schlüssel. Diese Schlüssel können Sie sich als eine beliebig lange, zufällig ausgewählte Zahlenkombination vorstellen. Eine Nachricht wird durch den öffentlichen Schlüssel verschlüsselt und kann nur mit dem privaten Schlüssel wieder dechiffriert werden.
Anhand einer klassischen Beispielkommunikation wird dieser Vorgang in der Kryptografie einfach dargestellt: Lisa verschickt eine Nachricht an Tim und verschlüsselt diese mit Tims öffentlichem Schlüssel, der beiden Parteien vorliegt. Die Nachricht kann anschließend nur mit Tims privatem Schlüssel wieder entschlüsselt werden. Möchte ein Außenstehender die Nachricht abfangen und mitlesen, kann er nur einen kryptografischen Code lesen.
Bezogen auf SSL läuft die Kommunikation zwischen einer Domain und einem Server ab. Die aufgerufene Domain ist in diesem Fall Lisa und der Server Tim. Dritte haben so keinen Zugriff auf sensible Daten, die Sie mit dem Server austauschen, da diese bestenfalls nur kryptografische Zeichenfolgen abfangen können. Die Verschlüsselung bildet die Basis für die Integrität und die Vertraulichkeit beim Umgang mit Daten.
Wozu braucht man ein SSL-Zertifikat?
SSL-Zertifikate schützen neben sensiblen Informationen wie Kreditkarteninformationen und personenbezogene Daten auch Passwörter und PINs. Seit dem 25.05.2018 ist SSL für Betreiber von Webseiten, die personenbezogene Daten einfordern übrigens Pflicht.
Aber auch, wenn Sie nur einen kleinen Blog betreiben – SSL ist inzwischen narrensicher einzurichten, z.B. kostenfrei über Let's Encrypt. Grund hierfür ist zwar nicht primär die Absicherung der ausgetauschten Daten, aber Ihre Webseite wirkt professioneller und baut so automatisch mehr Vertrauen zum Kunden auf.
Die knappe Antwort, ob man ein solches Zertifikat benötigt, lautet: Ja. Sicherheit, Professionalität, Integrität und Vertraulichkeit beim Umgang mit personenbezogenen Daten sind hier die ausschlaggebenden Argumente.
