HTTPS-geschützte Webseiten

Üblicherweise werden im Internet Webseiten per HTTP übertragen.

Dieses Protokoll hat den Nachteil, dass die Daten im Klartext vom Browser des Clients bis zum Webserver gesendet werden - die aufgerufene Webseite wird auf dem gleichen Weg, unverschlüsselt, zurückgeschickt.

Angreifern, die sich “zwischen” dem Client und dem Server befinden, können somit jegliche Kommunikation nicht nur mitlesen, sondern auch verändern. Beim Abruf von Webseiten ist dies zwar normalerweise kein großes Problem - beim Senden oder Empfangen von privaten bzw. persönlichen Daten allerdings hinderlich.

Ein Angreifer kann somit, beispielsweise beim Login in ein Forum oder einen internen Bereich, den übermittelten Benutzernamen und das Passwort mitschneiden und anschließend für sich selbst verwenden.

Auch nach dem Login besteht noch Gefahr: Cookies, die im Client gespeichert sind, werden bei jeder Anfrage erneut an den Server gesendet. Erhält ein Angreifer Zugriff auf diese Cookies, kann er diese ebenfalls verwenden und benötigt Benutzername und Passwort gar nicht mehr((vgl. Firesheep.

Ähnliches gilt für die Daten, die bei der Bestellung in einem Webshop gesendet werden.

Abhilfe schafft nun HTTPS (sprich: HTTP Secure). Bevor Daten zum Server gesendet werden, handeln Client und Server eine gesicherte Verbindung aus. Der Server sendet zu Beginn sein sog. Zertifikat an den Client, anhand dessen der Client verifizieren kann, ob er tatsächlich mit dem gewünschten Server spricht. Sobald die Verbindung dann verschlüsselt ist, werden alle weiteren Daten (Anfragen, die der Client an den Server sendet sowie Antwort mit dem Inhalt der Webseite vom Server erhält) verschlüsselt gesendet.

Diese verschlüsselte Verbindung ist so sicher, dass es einem Angreifer maßgeblich erschwert wird, Daten mitzulesen oder gar zu ändern (100%ige Sicherheit kann nicht gewährleistet werden!).

Wir empfehlen daher für alle Web-Shops den Kauf eines SSL-Zertifikates, um die Seitenübertragung zu verschlüsseln. Auch Webseiten, deren Inhalte als “kritisch” angesehen werden, sollten auf unser SSL-Angebot zurückgreifen.

Unterschiedliche Zertifikatstypen

SSL-Zertifikate sind in vier Kategorien verfügbar, die sich lediglich durch die Art der Darstellung unterscheiden. Bei allen SSL-Zertifikaten wird trotz eventuellen Warnungen die Verbindung verschlüsselt und somit werden die Daten sicher übertragen!

selbst-signierte Zertifikate oder Zertifikate unbekannter Aussteller:

für unsere Webhosting-Kunden stellen wir kostenfrei selbst-signierte Zertifikate zur Verfügung. Beim Aufruf einer damit geschützten Webseite, zeigen so gut wie alle Browser eine Fehlermeldung an und warnen davor, die Seite weiter zu verwenden. Für interne Bereiche, auf die nur ausgewählte Personen Zugriff haben sollten, ist diese Art von Schutz ausreichend.

Domainvalidierte Zertifikate:

die Zertifikate werden von einer bekannten/vertrauten Zertifizierungsstelle ausgestellt. Ob der Antragssteller berechtigt ist, für die gewünschte Domain ein Zertifikat auszustellen, wird aber nur mit einer Verifizierungs-E-Mail geprüft. Diese kann nur an einen beschränkten Pool an E-Mail-Adressen gesendet werden: E-Mail-Adressen aus dem Whois oder Adressen wie “webmaster@” oder “postmaster@”. Damit soll sichergestellt sein, dass nur ein begrenzter Personenkreis diese Berechtigung erhält. Die relativ geringe Verifizierungshürde zeigt sich dann auch im Zertifikat. Lassen sich Besucher die Details des Zertifikates anzeigen, so ist dort nur die Domain aufgeführt. Daten über den Domaininhaber fehlen im Zertifikat. Allerdings werden solche Zertifikate durch die vollständige Automatisierung binnen weniger Minuten ausgestellt.

Organisationsvalidierte Zertifikate:

ähnlich wie Domainvalidierte Zertifikate werden diese nur nach einer Verifizierung ausgestellt. Zusätzlich zur E-Mail-Adresse wird jedoch auch noch die Organisation überprüft, indem entweder die Firma eingetragen ist (Kapitalgesellschaften, …) oder anderweitige Nachweise der Rechtmäßigkeit an die Zertifizierungsstelle übermittelt werden. Je nach Zertifizierungsstelle und Zertifikatstyp wird auch ein (persönlicher) Anruf durchgeführt. Diese Dokumente werden dann geprüft, sodass der Organisations-/Firmenname, Anschrift etc. zusätzlich zum Domainnamen im Zertifikat erscheinen. Organisationsvalidierte Zertifikate werden üblicherweise an Werktagen binnen weniger Stunden ausgestellt.

Extended Validation Zertifikate:

dieser Typ SSL-Zertifikat wird ausschließlich an eingetragene Firmen ausgestellt und ist nicht für Privatpersonen verfügbar. Die Validierung ist im Vergleich zu Organisationsvalidierten Zertifikaten nochmals erweitert. Im Zertifikat werden dann diese Daten ebenfalls aufgeführt. Hauptunterschied ist jedoch, dass Browser diese EV-Zertifikate mit einer “grünen Adressleiste” sowie dem Firmennamen kennzeichnen, um die verbesserte Prüfung auch dem Besucher darzustellen.

Preise für SSL-Zertifikate

Bei Fragen steht Ihnen unser Support gerne zur Verfügung.