Datensicherheit: Websites durch SSL (TLS) & HTTPS absichern

Es gibt immer mehr Angriffe im Netz. Deshalb werden Cybersicherheit und gezielte Maßnahmen immer wichtiger, um sich davor zu schützen. Nach unserem Text über Cybersecurity und den Schutz vor Hackerangriffen möchten wir dieses Mal etwas näher auf die Sicherheit durch SSL-Zertifikate beziehungsweise TLS-Zertifikate eingehen.

»Daten sicher übertragen!«

Dabei geht es nicht um den Schutz von Daten, die wir sowieso bereitwillig an große Unternehmen wie Google oder Facebook weitergeben.

Es geht um sensible Daten wie Passwörter, Namen, Adressen oder Finanzdaten wie zum Beispiel Kreditkartennummern oder Informationen über Gehälter. Niemand möchte, dass solche Daten abgefangen werden.

Was bedeutet SSL?

Die Abkürzung SSL steht für Secure Sockets Layer. An dieser Stelle übersetzen wir solche Begriffe gerne ins Deutsche, weil das bei der Definition von Fachbegriffen oft hilfreich ist. In diesem Fall bringt uns "Sichere Sockel Schicht/Lage/Ebene" aber erst mal nicht besonders weit.

SSL ist eine Standardtechnologie, mit der Verbindungen im Internet abgesichert werden. Sie schützt Daten, die durch eine Internetverbindung zwischen zwei Systemen ausgetauscht werden: Das kann entweder zwischen einem Client und einem Server - oder zwischen zwei Servern sein.

Das Unternehmen DigiCert befasst sich mit Websecurity und beschreibt die Funktionsweise von SSL-Zertifikaten so:

"SSL stellt sicher, dass zwischen Benutzern und Websites oder zwischen zwei Systemen übertragene Daten nicht gelesen werden können. Dazu werden Verschlüsselungsalgorithmen verwendet, um Daten während der Übertragung zu kodieren und so zu verhindern, dass Hacker die Daten lesen können, während diese über die Verbindung gesendet werden."

Ein SSL-Zertifikat sorgt also für eine "sichere Schicht" zwischen zwei Systemen, die ein Angreifer von außen nicht so einfach durchdringen kann. Womit auch die deutsche Übersetzung von Secure Sockets Layer etwas klarer wäre.

Durch die Verschlüsselung mithilfe der SSL-Technologie wird eine Website automatisch von einer unsicheren Seite (HTTP) zu einer sicheren Seite (HTTPS).

Was ist HTTPS?

HTTPS steht für Hyper Text Transfer Protocol Secure. Das ist das, was ganz am Anfang einer URL oben in der Adresszeile steht.

Das Secure am Ende steht für sicher. Durch das "S" am Ende können wir dementsprechend sofort sehen, ob eine Seite durch ein SSL-Zertifikat abgesichert ist oder nicht. Heutzutage gibt es ehrlicherweise keinen Grund mehr, mit HTTP zu arbeiten. Viele Browser zeigen eine Warnung an, wenn man dabei ist, eine unsichere Seite zu besuchen. Wir müssen noch mal bestätigen, dass wir wirklich zu dieser Seite weitergeleitet werden möchten. Zu einem besonders wichtigen Grund, warum zwingend HTTPS genutzt werden sollte, kommen wir noch.

Bei Webseiten, die durch ein SSL-Zertifikat abgesichert sind, wird in verschiedenen Browsern noch vor dem HTTPS ein kleines Vorhängeschloss angezeigt. Nach einem Klick darauf öffnen sich Details zu dem Zertifikat. Zum Beispiel, von wem es ausgestellt wurde, wann das SSL-Zertifikat abläuft, wer der Inhaber ist und vieles mehr.

Safari ist an dieser Stelle nur ein Beispiel: In Browsern wie Google Chrome oder Mozilla Firefox sieht das Ganze ähnlich aus. Die Unterschiede liegen lediglich bei Optik und Anordnung des Schlosses und der Menüs, die zum Zertifikat führen.

TLS: Das neue SSL

Im Zusammenhang mit SSL und SSL-Zertifikaten stößt man mittlerweile oft auf die Abkürzung TLS. Das steht für Transport Layer Security. Lässt sich genauso schlecht übersetzen wie SSL und hat sich auch noch nicht so richtig durchgesetzt: Dabei ist TLS nichts anderes als die aktualisierte Version der SSL-Technologie: SSL = TLS.

Wer sich mit dem Thema befasst und im Internet danach sucht, gibt aber meist noch SSL in die Suchmaschine ein. Der Google Keyword Planner zeigt, dass immer noch deutlich mehr Nutzer:innen nach "ssl" und "ssl zertifikat" suchen als nach "tls" und "tls zertifikat".

Das ist der Grund, aus dem mittlerweile hinter vielen SSL-Zertifikaten in Wahrheit TLS-Zertifikate stecken. Die Anbieter von SSL-Zertifikaten bezeichnen sie nur deshalb noch mit SSL, weil die Bezeichnung für die meisten Menschen noch geläufiger ist. Teilweise werden auch beide Abkürzungen genutzt und es ist von SSL/TLS-Zertifikaten die Rede.

Wie bekomme ich ein SSL-Zertifikat?

Es gibt mehrere Wege zu einem SSL-Zertifikat. Damit es von jedem Browser ohne Probleme akzeptiert wird, sollte es allerdings von einer offiziellen Zertifizierungsstelle kommen. Wer danach sucht, wird schnell viele verschiedene Anbieter und Angebote finden. Ein SSL-Zertifikat kostet also in der Regel Geld.

Kostenpflichtig:

Es gibt verschiedene Tarif-Modelle, bei denen man monatlich oder jährlich einen gewissen Betrag für eine bestimmte Leistung zahlt. Das können 3 € pro Monat oder 1.300 € pro Jahr sein - je nach Anbieter und Umfang des Zertifikates.

• Steht der Inhaber im Zertifikat?
• Wie viele Domains sind abgesichert?
• Sind Subdomains enthalten?
• Gibt’s eine grüne https-Adressleiste dazu?
• Oder nur das Vorhängeschloss als Symbol?
• Wie hoch ist die Schadenssumme, die abgedeckt ist?

Das sind einige Punkte, in denen sich die Angebote unterscheiden können. Es eignet sich nicht jedes SSL-Angebot für jede Website oder jeden Shop. Deshalb sollte man die Angebote vergleichen und sich genau informieren, welches SSL-Zertifikat für die eigenen Ansprüche passend ist. Teilweise sind SSL/TLS-Zertifikate aber auch im Webhosting-Tarif inklusive.

Kostenlos:

Es gibt auch kostenlose Möglichkeiten, um an ein SSL-Zertifikat zu kommen. Let’s Encrypt ist eine sehr beliebte Zertifizierungsstelle, die "TLS-Zertifikate für 260 Millionen Websites bereitstellt", wie es auf der Seite heißt. Man wolle die digitalen Zertifikate zur Aktivierung von HTTPS kostenlos und benutzerfreundlich zur Verfügung stellen, um das Internet noch sicherer zu machen. Sponsoren dieser kostenlosen und automatisierten Zertifizierungsstelle sind unter anderem Google Chrome, Meta, Mozilla und GitHub.

Probleme bei der kostenlosen Variante:

Die Unternehmen hinter den Domains werden nur technisch geprüft. Das ist natürlich nicht so genau, wie die manuelle Prüfung durch Mitarbeiter:innen einer offiziellen Zertifizierungsstelle.

Wenn es technische Probleme gibt, gibt es keinen Support.

Es besteht kein Anspruch auf Schadensersatz oder ähnliches, sollte es durch ein kostenloses Zertifikat zu Schwierigkeiten und ggf. zu finanziellen Einbußen kommen.

Es gibt auch keine Garantie dafür, dass alles immer wie gewünscht funktioniert. Bei Lets’ Encrypt sind schon Probleme aufgetreten, wenn Zertifikate erneuert werden mussten. Anfang 2022 wurden außerdem Zertifikate zurückgezogen, weil der Prüfmechanismus fehlerhaft gewesen ist: Die Überprüfung über den Besitz einer Domain hat nicht ordnungsgemäß funktioniert.

Unsichere Seite trotz SSL/TLS-Zertifikat?

Hin und wieder kann es vorkommen, dass eine Domain zwar über ein SSL-Zertifikat verfügt, die Webseite vom Browser aber trotzdem als unsicher gekennzeichnet wird. Das kann daran liegen, dass auf der Seite noch einzelne Elemente liegen, die technisch noch via HTTP geladen werden (Mixed Content).

Hier muss jemand mit etwas Know-how ran, um herauszufinden, an welchen Stellen im Code oder in der Datenbank noch Elemente per HTTP geladen werden. Dafür wird ein Blick in den Quelltext geworfen.

Manchmal kann es reichen, den Cache zu leeren und die Einstellungen anzupassen, indem alle HTTP-Pfade auf HTTPS umgeschrieben werden. Damit auch die Suchmaschine von Google weiß, dass die entsprechenden HTTP-Seiten nicht mehr existieren, sollte eine Weiterleitung auf die neuen HTTPS-Links eingerichtet werden (301 Redirect).

Es gibt auch verschiedene Tools, mit denen eine Seite nach unsicheren Elementen durchsucht werden kann, wie beispielsweise Why No Padlock? Reicht das nicht, muss etwas mehr in die technische Tiefe getaucht werden.

WICHTIG: Immer ein Backup aller wichtigen Daten machen, bevor irgendwas umgestellt oder gelöscht wird. Es kann immer etwas schiefgehen.

Mehr Informationen?

Benötigen Sie eine sichere Website für Ihr Unternehmen? Sind Fragen offengeblieben? Melden Sie sich bei uns und wir erklären Ihnen alles wichtige zum Thema SSL/TLS-Zertifikate und HTTPS.

Schreiben Sie uns eine Mail, nutzen Sie unser Kontaktformular oder rufen Sie uns einfach an, um einen Termin zu vereinbaren. Wir erstellen Ihnen gerne ein Angebot – selbstverständlich kostenlos und unverbindlich!