Was Ist SSL/TLS?

In einem Zeitalter, in dem einige unserer wichtigsten Informationen und Transaktionen online stattfinden, ist es von größter Bedeutung, die Sicherheit digitaler Interaktionen zu gewährleisten.

In diesem anfängerfreundlichen Leitfaden (der sich nicht scheut, in die Tiefe zu gehen!) werden wir die Kernsysteme, die hinter den Kulissen arbeiten und die jeder Website-Besitzer oder -Manager kennen muss, um die Privatsphäre der Nutzer und ihren Geschäftsruf zu schützen, entmystifizieren.

Was Ist SSL?

SSL steht für Secure Sockets Layer. SSL ist ein Protokoll zur Aufrechterhaltung einer sicheren Verbindung und zum Schutz sensibler Daten, um Internetnutzer während Online-Transaktionen, Anmeldevorgängen und mehr sicher zu halten.

SSL wird in anderen Prozessen verwendet, wie der Sicherung von Dateiübertragungen und dem Schutz von E-Mail-Anwendungen, aber wir werden hauptsächlich darauf eingehen, wie es die Internetsicherheit beeinflusst, da es dort am bekanntesten geworden ist.

Was Ist TLS?

Transport Layer Security (TLS) ist der Nachfolger von SSL, der heute verwendet wird und Schwachstellen noch effektiver behandelt.

Ist SSL überholt?

SSL hat seit seiner Einführung vor Jahrzehnten viele Iterationen durchlaufen, um Funktionalität und Sicherheit stetig zu verbessern. TLS ist lediglich eine sicherere und aktuellere Version von SSL.

Im Grunde beziehen sich sowohl SSL als auch TLS auf dasselbe. Zum Zeitpunkt dieses Schreibens ist jedoch SSL immer noch der häufiger verwendete Begriff für das Protokoll, daher wirst Du es oft sehen — und wir werden es auch in diesem Artikel häufig verwenden.

Wie Sieht SSL/TLS Aus?

Wenn ein SSL/TLS-Zertifikat (mehr dazu später) auf einer Website vorhanden und aktuell ist, solltest Du sehen, dass die URL in der Adressleiste mit „HTTPS“ anstatt „HTTP“ beginnt. Wenn Du die vollständige URL nicht siehst, wird sie wahrscheinlich angezeigt, wenn Du in die Adressleiste klickst. Einige Browser entscheiden sich dafür, sie aus Gründen der Einfachheit zu kürzen.

Du solltest auch ein kleines grünes Vorhängeschloss-Symbol sehen — oder manchmal andere Farben, abhängig vom Browser — vor der URL, wenn SSL/TLS verwendet wird.

Was macht SSL/TLS?

SSL/TLS ermöglicht eine sichere Verbindung zwischen zwei Systemen. Dies können ein Server und ein Client (zum Beispiel eine Einkaufswebsite und ein Browser) oder zwei Server sein.

SSL/TLS verwendet Verschlüsselung und kryptografische Schlüsselpaare, um die Identität von Systemen zu verifizieren und zu verhindern, dass Daten mit böswilligen Akteuren geteilt werden.

Diese Daten umfassen:

• Finanzielle Details wie Kreditkartennummern, Bankkontoinformationen usw.
• Persönlich identifizierbare Daten — vollständiger Name, Sozialversicherungsnummer, Adresse, Geburtsdatum usw.
• Vertrauliche rechtliche Dokumente
• Private medizinische Unterlagen
• Vertrauliche Informationen wie Kundendetails, Geschäftsgeheimnisse usw.
• Anmeldeinformationen

Wie funktioniert SSL/TLS? Der SSL-Handshake

Mit der ganzen vorbereitenden Arbeit, lass uns zum Kern der Funktionsweise von SSL/TLS kommen!

SSL/TLS funktioniert, indem es Daten während der Übertragung verschlüsselt, um zu verhindern, dass Hacker darauf zugreifen, während sie über ein Netzwerk übertragen werden. Namen, Adressen, Kreditkartennummern und andere potenziell sensible Informationen sind unter den Fakten, die SSL/TLS zu schützen verwendet wird.

Hier ist eine grundlegende Zusammenfassung, wie es das macht:

1. Wenn ein Benutzer einen Prozess startet, der durch SSL/TLS geschützt ist, wie etwa einen Kauf auf einer Webseite, sendet der Client (der Browser des Benutzers) ein Hallo-Paket an den Server der Webseite. Dieses Paket enthält eine Nachricht über die Transaktion, den TLS-Typ, die Cipher-Suites und ein „client random“, das eine Folge von zufälligen Bytes ist.
2. Der Server empfängt diese Nachricht und antwortet mit seinem eigenen Hallo-Paket, das eine Antwort auf die Nachricht, sein SSL/TLS-Zertifikat, die Cipher-Suite und ein „server random“ – eine weitere Auswahl an zufälligen Bytes – enthält.
3. Der Client durchläuft einen Prozess zur Authentifizierung des SSL/TLS-Zertifikats, um zu beweisen, dass der Server der vertrauenswürdige Dienst ist, als der er sich ausgibt (also kein Hacker). Dann sendet er etwas, das als „premaster secret“ bezeichnet wird, das mit dem öffentlichen Schlüssel des SSL/TLS-Zertifikats kodiert ist. Die Idee ist, dass der Server einen privaten Schlüssel haben sollte, der diese Nachricht entschlüsseln kann.
4. Wenn alles richtig läuft, hat der Server den privaten Schlüssel, der mit dem SSL/TLS-Zertifikat verbunden ist, und kann das premaster secret entschlüsseln. Nachdem dies geschehen ist, erstellt der Server einen Sitzungsschlüssel und sendet die Informationen an den Client.
5. Nun senden sowohl der Client als auch der Server eine „finished“-Nachricht aneinander, die mit dem Sitzungsschlüssel kodiert ist. Dies zeigt an, dass eine sichere Sitzung zwischen den beiden eröffnet ist und alle währenddessen geteilten Daten sicher und geschützt sein sollten.

Dieses Verfahren wird oft als SSL-Handshake bezeichnet und es passiert in wenigen Millisekunden.

Warum Ist SSL/TLS Wichtig?

SSL/TLS-Schutz ist aus vielen Gründen auf Websites notwendig:

• Zum Schutz der Informationen der Benutzer
• Zum Aufbau des Kundenvertrauens in die Marke
• Zur Bestätigung des Website-Besitzes
• Um zu verhindern, dass böswillige Personen und Programme eine falsche Version einer Website erstellen und sensible Informationen abschöpfen

Immer wenn eine Website verlangt, dass Benutzer sich anmelden, persönliche Informationen anfordern oder Zugang zu privaten Inhalten bieten — ist es entscheidend, dass sie die Privatsphäre der Benutzer schützt.

SSL/TLS trägt zur Privatsphäre der Online-Kommunikation bei und versichert Besuchern, dass eine Website zuverlässig und sicher ist.

Zusätzlich werden die großen Browser Webseiten ohne SSL/TLS-Zertifikate als „nicht sicher“ kennzeichnen. Dies stellt ein großes Warnsignal für Besucher dar und kann sie schnell dazu veranlassen, die Seite zu schließen und eine andere Webseite zu versuchen. Heutzutage sind Webseiten, die nicht in SSL/TLS investieren, wahrscheinlich einem Risiko ausgesetzt, Verkehr und Umsätze zu verlieren.

Sollte Ich SSL/TLS Ausschalten? Was Passiert, Wenn Ich Es Tue?

Kurz gesagt, als Website-Besitzer oder Administrator ist es fast immer besser, SSL/TLS zu verwenden, als es nicht zu tun.

Und das gilt auch, wenn Du keine Benutzerinformationen auf Deiner Website sammelst.

Nicht nur ist SSL/TLS entscheidend für die Datensicherheit, wie wir schon oft erwähnt haben — es hilft auch dabei, deine Webseite vor dem Kopieren durch böswillige Akteure zu schützen und die abschreckende Meldung „Deine Verbindung ist nicht privat“ zu vermeiden, die viele Nutzer abschrecken kann.

Ende 2023 nutzen etwa 85% der Websites SSL/TLS, um ihren HTTPS-Status zu sichern.

Was Ist Ein SSL-Zertifikat?

Jetzt wollen wir das Konzept des SSL/TLS-Zertifikats — das wir von nun an als SSL-Zertifikat abkürzen —, das wir zuvor eingeführt haben, etwas vertiefen.

Ein SSL-Zertifikat ist ein digitales Zertifikat, das von einer Zertifizierungsstelle (CA) ausgestellt wird. Seine Aufgabe besteht darin, die Identität der Website, für die es ausgestellt wurde, mit einem kryptografischen Schlüsselpaar zu verbinden — das sind die öffentlichen und privaten Schlüssel, über die wir bereits gesprochen haben.

Abgesehen davon, dass sie sichere Transaktionen über ihre Schlüssel unterstützen, sind diese Zertifikate auch nützlich, um den Nutzern den Hintergrund einer Website und deren Besitzer zu zeigen, damit sie selbst eine Einschätzung ihrer Vertrauenswürdigkeit vornehmen können.

Als Benutzer kannst Du die Details eines SSL-Zertifikats einsehen, indem Du auf das Vorhängeschloss-Symbol in der Adressleiste klickst. Informationen, die Du hier sehen kannst, umfassen:

• Der Domainname, für den das Zertifikat ausgestellt ist
• Das Unternehmen oder die Person, an die das Zertifikat ausgestellt wurde, und von welcher Zertifizierungsstelle
• Die digitale Signatur der Zertifizierungsstelle und der öffentliche Schlüssel
• Wann das Zertifikat ausgestellt wurde und wann es abläuft

Wenn irgendwelche Informationen des Zertifikats verdächtig erscheinen oder nicht zu der Website passen, die Du besuchst, solltest Du genauer hinsehen, bevor Du persönliche Informationen teilst.

5 Arten Von SSL-Zertifikaten

Es gibt mehrere Arten von SSL-Zertifikaten mit unterschiedlichen Validierungsgraden.

Erweitertes Validierungs-SSL-Zertifikat (EV SSL)

Erweiterte Validierungs-SSL-Zertifikate (EV SSLs) stellen die höchste und teuerste Form der SSL-Zertifizierung dar.

Um diese Sicherheitsstufe zu erreichen, muss der Antragsteller einen Identitätsnachweis durchführen. Es wird üblicherweise von Websites verwendet, die Kreditkartentransaktionen durchführen und sensible Informationen sammeln. Mit einem EV SSL werden HTTPS und das Schloss-Symbol in der Adressleiste neben dem zertifizierten Namen und Land des Unternehmens angezeigt. Alle diese Details unterstützen die Vertrauenswürdigkeit einer Website.

Organisation-Validiertes SSL-Zertifikat (OV SSL)

Organisationsvalidierte SSL-Zertifikate (OV SSLs) ähneln EV SSLs im Bewerbungsprozess und den Informationen, die sie in der Adressleiste anzeigen, sie sind nur eine Stufe niedriger in Sicherheitsniveau und Kosten.

OV SSLs werden üblicherweise von kommerziellen oder öffentlich zugänglichen Websites verwendet, um ihr Engagement für die Vertraulichkeit von Informationen zu demonstrieren.

Domainvalidiertes SSL-Zertifikat (DV SSL)

Domainvalidierte SSL-Zertifikate (DV SSLs) sind weniger sichere und weniger strenge (und auch weniger teure!) Zertifizierungen, die oft von Blogs und anderen Informationswebsites verwendet werden, die keine Datensammlung oder Online-Zahlungen beinhalten.

Normalerweise erfordert der Validierungsprozess nur, dass Website-Besitzer ihr Eigentum per E-Mail oder Telefon bestätigen. Mit dieser Zertifizierung wird in der Adressleiste normalerweise nur HTTPS und ein Vorhängeschloss-Symbol angezeigt.

Multi-Domain SSL-Zertifikat (MD SSL)

Multi-Domain SSL-Zertifikate (MD SSLs) werden auch als Subject Alternate Name (SAN) und Unified Communication Certificate (UCC) bezeichnet.

Ein MD SSL-Zertifikat kann mehrere Top-Level-Domains sowie Subdomains schützen — denke an en.domain.com, blog.domain.com, usw. Die Anzahl der Elemente, die es abdeckt, wird von der Zertifizierungsstelle bestimmt, die es ausstellt.

Jede Eigenschaft, die Du unter dieser Zertifizierung schützen möchtest, muss zum Zeitpunkt der Ausstellung definiert werden. Um weitere hinzuzufügen, muss der Inhaber darum bitten, dass es aktualisiert und von der CA neu ausgestellt wird. Diese Vorsichtsmaßnahme macht es sicherer als die nächste Option.

Wildcard SSL-Zertifikat

Wildcard-SSL-Zertifikate bieten Sicherheit für eine Domain und unbegrenzte Subdomains, die damit verbunden sind.

Für Websites mit vielen Subdomains kann dies eine schnelle und erschwingliche Möglichkeit sein, sicherzustellen, dass jeder Abschnitt Ihrer Website automatisch durch Verschlüsselung geschützt ist. Der Nachteil ist, dass, wenn nur eine Subdomain kompromittiert wird, auch andere Subdomains unter demselben Wildcard-Zertifikat kompromittiert werden können.

Wie Du Ein SSL-Zertifikat In 7 Schritten Erhältst

Wenn Du bereit bist, die Sicherheit zu nutzen, die ein SSL-Zertifikat bieten kann, sollten diese grundlegenden Schritte den meisten Website-Besitzern helfen, die benötigte Dokumentation zu erhalten:

1. Wähle Dein SSL-Schutzniveau

Wie viele Domains und Subdomains möchtest Du absichern? Wie viel Sicherheit benötigst Du? Verwende die obige Anleitung zu den SSL-Zertifikatstypen, um zu bestimmen, welche Art Du suchst.

2. Erstelle Eine Zertifikatsignierungsanforderung

Ein Zertifikatsignierantrag (CSR) ist eine verschlüsselte Datei, die Geschäfts- und Domaininformationen sowie die privaten und öffentlichen Schlüssel enthält, die deine Zertifizierungsstelle benötigt, um dein Zertifikat zu erstellen.

Wie Du eine CSR generierst, hängt von der Plattform ab, auf der Du Dich befindest, oder von dem Website-Host, den Du verwendest. Die meisten Hosts ermöglichen es Dir, eine CSR über ihr Admin-Panel zu erstellen. So können DreamHost-Kunden eine CSR erstellen.

Wenn Du lieber versuchen möchtest, diesen Schritt ohne Hilfe des Hosts zu bewältigen, kann Dir dieser Leitfaden helfen, die spezifischen Schritte zu finden, die Du befolgen musst.

3. Kaufe Dein Zertifikat Bei Einer Zertifizierungsstelle

Dein nächster Schritt besteht darin, eine renommierte CA zu suchen, bei der Du Dein SSL-Zertifikat kaufen kannst. Es gibt viele Optionen, einschließlich:

• letsencrypt.org
• sectigo.com
• verisign.com

Welchen Anbieter Du auch wählst, dessen Website sollte Dich durch die Auswahl Deines SSL-Zertifikatstyps führen, das Einreichen Deines CSR unterstützen und den Kauf abschließen helfen.

DreamHost-Kunden können ein SSL-Zertifikat — kostenlos oder kostenpflichtig — über das Kunden-Panel erwerben. Hier siehst Du wie.

4. Vollständige Validierung (falls erforderlich)

Wenn Du einen hochsicheren Zertifikatstyp gewählt hast, der Dich dazu auffordert, Deine Identität und/oder den Besitz Deiner Website nachzuweisen, wird Dir Dein CA Schritte geben, um die Validierung zu erbringen.

5. Installiere Dein Neues SSL-Zertifikat

Wenn alles nach Plan läuft, solltest Du jetzt in der Lage sein, die von Deinem CA bereitgestellten Zertifikatsdateien herunterzuladen. Jetzt ist es an der Zeit, es auf Deiner Website zu installieren.

Dies ist ein weiterer Schritt, der je nach deiner Website-Plattform, deinem Hosting-Anbieter und sogar der Art des Zertifikats, für das du dich entschieden hast, stark variieren kann. Kontaktiere deinen Hosting-Anbieter oder logge dich in das Kundenpanel deines Website-Hosts ein und suche nach etwas, das „SSL/TLS-Einstellungen“ oder „SSL/TLS-Manager“ genannt wird, und folge den Schritten zur Installation der heruntergeladenen Dateien.

Oder, wenn Du es lieber selbst machen möchtest, DigiCert hat einen weiteren Leitfaden, um Dir die Navigation auf den meisten Plattformen zu erleichtern.

Für WordPress-Nutzer kann die Installation eines SSL-Zertifikats mit einem Plugin wie Really Simple SSL durchgeführt werden. DreamHost-Kunden können ein SSL-Zertifikat von Drittanbietern hinzufügen, indem sie diesen Anweisungen folgen.

Verwandt: Was ist ein Plugin?

6. Teste Deine SSL-Installation

Um zu überprüfen, ob dein Zertifikat korrekt installiert ist und ordnungsgemäß funktioniert, suche nach dem Begriff „SSL checker tool“, um eine Plattform zu finden, die eine schnelle Analyse für dich durchführt. Die CA, die du verwendet hast, könnte auch ein SSL-Prüfwerkzeug auf ihrer Website haben.

7. HTTP-URLs Umleiten

Schließlich musst Du alle HTTP URLs auf HTTPS URLs umleiten, nachdem Du Dein SSL-Zertifikat installiert hast, um sicherzustellen, dass die Nutzer nur auf die sicherste Version Deiner Website zugreifen.

DreamHost leitet Besucher automatisch auf die HTTPS-Version deiner Website um, sobald Du ein SSL-Zertifikat hinzufügst, und andere Website-Hosts machen möglicherweise dasselbe.

Wenn dies keine Option für Dich ist und Du Deinen Server manuell aktualisieren musst, haben wir Anleitungen, um auf einen Apache– oder Nginx-Server zuzugreifen und hier eine Umleitung zu erzwingen.

Für WordPress-Nutzer, wenn du ein SSL-Installations-Plugin verwendet hast, könnte es auch eingebaute HTTP-zu-HTTPS-Migrationsservices haben. Wenn nicht, könnte Redirection oder ein anderes Plugin hier eine große Hilfe sein.

Verwandt: Was ist eine Weiterleitung?

Laufen SSL-Zertifikate Ab?

Ja, SSL-Zertifikate laufen ab.

Laut dem Certificate Authority/Browser Forum, das alle SSL-bezogenen Angelegenheiten regelt, sollten Zertifikate nach etwa 13 Monaten ablaufen. Diese Entscheidung wurde als Reaktion auf die Ankündigung von Apple getroffen, dass sie keine Zertifikate mit einer Gültigkeitsdauer von zwei Jahren mehr akzeptieren würden — was früher die Norm war. Wann deins abläuft, hängt von der CA ab, die dein SSL bereitgestellt hat.

SSL-Zertifikate laufen ab, weil sich das Internet schnell weiterentwickelt. Vorschriften, die die Datenerfassung betreffen, kommen und gehen, Unternehmen und Websites wechseln die Besitzer, und ältere Schlüsselpaare werden unsicherer, da Hacker immer fortschrittlicher werden. Eine Neuzertifizierung gibt Webseitenbesitzern die Möglichkeit, ihre Sicherheit zu aktualisieren und den Zertifizierungsstellen Zeit, die mit dem Zertifikat verknüpften Informationen zu überprüfen, um sicherzustellen, dass alles korrekt ist.

Wenn ein SSL-Zertifikat abläuft und die Website nicht mehr durch dieses Sicherheitsprotokoll geschützt ist, wird der Browser eine Warnung ausgeben, die die Benutzer darauf hinweist, dass die Seite nicht sicher ist und sie vorsichtig vorgehen sollten.

Natürlich kommt ein SSL-Ablauf nicht aus heiterem Himmel. Der CA, von dem du deine Dokumentation erhalten hast, wird eine Benachrichtigung senden, wenn es Zeit zur Erneuerung ist. Sie beginnen in der Regel etwa 90 Tage vor dem Ablauf, und wir empfehlen, dass du sofort handelst, sobald du sie erhältst. Und stelle sicher, dass du dich anmeldest, um diese Benachrichtigungen an eine E-Mail-Adresse zu senden, von der du weißt, dass du sie immer überprüfen und Zugang dazu haben wirst.

Wie Du Dein SSL-Zertifikat Erneuerst

Mit vielen SSL-Zertifizierungsanbietern sind die Schritte zum Aktualisieren deines SSL-Zertifikats die gleichen wie beim erstmaligen Erhalten. Du musst also eine CSR generieren, ein SSL-Zertifikat von einem CA kaufen, alle erforderlichen Validierungen abschließen und dein Zertifikat installieren und testen.

Das heißt, viele SSL-Anbieter und Website-Hosts beginnen, diesen Prozess so weit wie möglich zu automatisieren. Daher musst Du vielleicht nicht jedes Mal alle Schritte durchlaufen — aber es ist hilfreich zu wissen, welche Art von Wartung Du könntest haben, wenn Du die SSL-Zertifizierung und die Pflege Deiner Website in Betracht ziehst.

Verwandt: Wie Man Häufige SSL-Probleme In WordPress Behebt 

Wähle Einen Webhost, Der Deine Sicherheitsziele Unterstützt

Zum Glück ist das Sichern des Online-Nutzererlebnisses und das Schaffen von Vertrauen in deine Marke mit SSL/TLS-Abdeckung ein recht zugänglicher Prozess. Das bedeutet jedoch nicht, dass jeder Website-Betreiber den Wunsch oder die Zeit hat, nicht nur die beste SSL-Zertifikatsoption zu finden, sondern sie auch zu installieren und Jahr für Jahr zu warten.

Wenn Du Dich lieber auf die Geschäftsseite konzentrieren möchtest, kann das DreamHost Website-Management Pro-Team Deine Sicherheits- und Erfahrungsziele unterstützen, indem es alles von kleinen Updates bis hin zur Wiederherstellung nach einem Hack, Link-Migration und vollständiger Website-Verwaltung und -Überwachung übernimmt.