Was bedeutet es eine Website zu verschlüsseln?

Gehört hat man von diesen drei Buchstaben bestimmt schon einmal, meist sieht man es bei Websites, auf denen „https“ statt „http“ vor der Internetadresse steht. Das „s“ steht hierbei für „secure“, weißt als so auf einer „sichere“ Verbindung hin. Was allerdings dahinter steckt, ist für viele eher unklar. Diese sichere Verbindung wird mit den Protokollen SSL bzw. TLS erreicht. TLS ist der sicherere Nachfolger von SSL und gilt aktuell als die einzige wirklich sichere Methode. Im folgenden Text wird aber SSL als Überbegriff für SSL und TLS verwendet, wenn nicht anders gekennzeichnet. Durch SSL wird der Datenverkehr zwischen Website und Computer verschlüsselt, sodass kein anderer ohne Weiteres diesen mitlesen kann. Heißt also, Daten, die übermittelt werden, werden so verpackt, dass nur der jeweilige Empfänger sie lesen kann.

Funktionsweise von SSL

Eine SSL verschlüsselte Datenübertragung kann man mit einem Briefversand vergleichen. Durch SSL wird der Server, der die Daten schickt, eindeutig identifiziert, der Absender des Briefes ist also klar einsehbar. Außerdem werden die Daten verschlüsselt, vergleichbar mit dem Versiegeln eines Briefes. Durch die gesicherte Datenverbindung kann so auch mittels effektiver Algorithmen auf Empfänger- und Absenderseite sichergestellt werden, dass alle Daten vollständig und nicht verfälscht ankommen. Möglich gemacht wird das dadurch, dass der Server über ein sogenanntes „SSL-Zertifikat“ verfügt. Wird im Browser „https“ statt „http“ vor der Adresse eingegeben, fragt dieser den Server nach diesem Zertifikat und prüft es. Daraufhin wird eine verschlüsselte Verbindung hergestellt, die das Abgreifen ausgetauschter Informationen zwischen Server und Empfänger für einen Dritten relativ unmöglich machen. Die Sicherheit dieser Verbindung hängt von der verwendeten SSL/TLS Version ab, sowie der Länge des verwendeten Schlüssels, der für jede Sitzung anders ist. Der Schlüssel ist eine bestimmte Zeichenkette, die mit einem Passwort verglichen werden kann. Um die Daten zu ver- und entschlüsseln, wird dieses Passwort benötigt. Wie für normale Passwörter gilt auch bei SSL: Je länger der Schlüssel, desto sicherer, da es für einen längeren Schlüssel logischerweise mehrere mögliche Kombinationen gibt. Wie lang dieser verwendete Schlüssel für eine Sitzung ist, hängt von verschiedenen Parametern ab. Einfluss darauf haben beispielsweise das verwendete Zertifikat, das Betriebssystem und der Browser des Empfängers.

Unterschied TLS und SSL (hier ist nur SSL gemeint, wenn von SSL die Rede ist)

Da SSL einige Sicherheitslücken aufweist, wurde es überarbeitet und als TLS weiter vermarktet. Prinzipiell macht TLS das Selbe wie SSL, nur, dass einige Sicherheitslücken geschlossen wurden. Da TLS auf SSL basiert, ist TLS Version 1.0 das Selbe wie SSL Version 3.1, danach wurde es ausschließlich unter dem Namen TLS weiter entwickelt. Da durch TLS einige Sicherheitslücken geschlossen wurden und immernoch geschlossen werden, ist es ratsam, immer darauf zu achten, die aktuellste TLS Version zu benutzen, da sonst keine sichere Verschlüsselung gewährleistet ist. Wie sicher ein TLS/SSL-Zertifikat einer Seite ist, kann man auch auf folgender Seite testen: https://www.ssllabs.com/ssltest/index.html

Wann SSL Sinn macht

Am offensichtlichsten ist der Einsatz von SSL bei beispielsweise Webshops. Hier werden oft kritische persönliche Daten übertragen, welche keinesfalls in falsche Hände geraten dürfen. Auch haben viele große Websites allgemein für die komplette Seite eine verschlüsselte Verbindung. Aber auch für kleinere Seiten macht SSL Sinn. Vor allem, wenn mit einem Content Management System (CMS) wie beispielsweise Joomla oder Wordpress gearbeitet wird. Hier ist die Administration und damit auch die ganze Seite auch angreifbar, wenn keine verschlüsselte SSL Verbindung verwendet wird. Des Weiteren achten aber auch Suchmaschinen, insbesondere Google, auf die Verschlüsselung von Websites. Verwenden Websites keine SSL-Verschlüsselung, wird das negativ angemerkt und kann zu einer Abwertung der Website und somit zu einer schlechteren Platzierung der Seite führen. Auch wird künftig der meistverwendete Browser, Google Chrome, vor nicht SSL-gesicherten Websites warnen(http://www.zdnet.com/article/google-chrome-gets-ready-to-mark-all-http-sites-as-bad/). Ein weiterer Grund, eine Website durch ein SSL-Zertifikat zu schützen. Aber nicht nur für Websiten wird SSL verwendet. Auch bei E-Mails bietet es sich an, eingehende und ausgehende Mails per SSL zu verschlüsseln, da auch hier oft vertrauliche persönliche Daten übermittelt werden, sodass SSL bei E-Mails mittlerweile eigentlich auch Standard ist.

Kosten und Einrichtung

Ein SSL Zertifikat an sich kostet in der Regel 20-30€ pro Jahr und muss erst spezifisch für eine Domain beantragt werden. Ist dieses dann eingerichtet, ist das Zertifikat ein Jahr gültig. Danach kann man es entweder verlängern lassen oder auf die SSL Verschlüsselung verzichten. Um diesen Aufwand zu minimieren, kann man auch gleich Zertifikate beantragen, welche mehrere Jahre gelten.

Wer kein Geld für SSL Zertifikate ausgeben kann/will, kann auch auf kostenlose Dienste wie Let's Encrypt (https://letsencrypt.org/) zurückgreifen. Diese ermöglichen, kostenlos eine Website per SSL zu sichern, allerdings muss dafür erst wieder ein zustätzliches Programm auf dem Webserver installieren, weshalb sich dieser Aufwand eher nur für Privatanwender lohnt.

Eine Website per SSL-Zertifikat zu sichern macht also durchaus nicht nur für Webshops, sondern auch für kleinere normale Websites Sinn. Auch, weil dadurch das Vertrauen der Kunden, dass die Seite sicher sei, steigt.

 

Weitere Informationen unter:

https://www.thawte.de/resources/ssl-information-center/get-started-with-ssl/ssl-faq/
https://www.ssl.de/ssl.html

Frag TONKOM!

Ihr habt weitere Fragen? Stellt uns eure fragen zur SSL Verschlüsselung.

Kontakt

Erfahren Sie mehr!

Blogs findet man inzwischen auf fast jeder Website doch häufig bleiben die Autoren geheim. Wir legen großen Wert auf Transparenz und wollen Ihnen nicht nur Infos über unsere Arbeit bieten sondern auch über die Menschen, die diese Arbeit machen.

Lernen Sie die Menschen hinter dem Blog kennen - Lernen Sie TONKOM kennen.

Kontakt

TONKOM
Inhaber: Anton Schreiber
Pezoldstraße 21
91327 Gößweinstein
T: 09242.741 72 0
E: Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!