Wenn wir beim Online-Banking die Webseite der Bank aufrufen, in einem Online-Shop einkaufen oder dem Spenden-Aufruf des Tierschutzvereins folgen – wer sagt uns, dass wir auf der richtigen Webseite gelandet sind und nicht einem Fake zum Opfer fallen?
Das SSL-Zertifikat.
SSL und das Zertifikat sind zwei Funktionen in einem Paket:
- SSL bedeutet Secure Sockets Layer oder Sichere Transportschicht und verschlüsselt sensible Daten bei der Übertragung über die unsicheren Leitungen des Internets.
- Das Zertifikat stellt die Identität der Webseite sicher.
Für Zahlungen und den Austausch von sensiblen Daten – vom Online-Banking bis hin zur Anmeldung bei Mail-Anwendungen wie Google-Mail – wird schon seit 1994 SSL eingesetzt.
Auf der sicheren Seite
Wenn wir eine verschlüsselte Webseite laden, zeigt sie https anstelle von http. Das »s« zeigt, dass die Seite durch ein Zertifikat bestätigt ist und der Browser Formulardaten verschlüsselt verschickt. Der Browser zeigt das HTTPS-Protokoll durch ein kleines Schloss am Anfang des Navigationsfelds mit der URL und färbt das Navigationsfeld grün.
Browser, FTP-Programme und Emailprogramme respektive Betriebssysteme bringen »Intermediate Zertifikate« von anerkannten Zertifizierungsstellen mit, anhand derer sie die Echtheit eines Zertifikats erkennen.
Eine sichere Seite soll sich auf den ersten Blick von einer Phishing-Seite abheben, die dem Benutzer sensible Daten entlocken will.
Das SSL-Zertifikat
https alleine reicht nicht – Hacker könnten ebenfalls eine Webseite mit einer verschlüsselten Verbindung ins Internet setzen. Zum sicheren Banking und Online-Shopping gehört ein Zertifikat. Der Browser prüft das Zertifikat und stellt die Identität der Webseite fest.
Zertifikate gibt es in drei Stufen: domain-validated, organization-vali- dated und extended-validation (EV).
Zur Qualität der Verschlüsselung
Ein Zertifikat ist keine bunte Urkunde, sondern besteht aus wilden Ziffern und Buchstaben, die einen privaten Schlüssel und ein Zertifikat bilden.
-----BEGIN PRIVATE KEY----- MUOl7sKJ8 … -----END PRIVATE KEY----- -----BEGIN CERTIFICATE----- MUOl3lTSQ … -----END CERTIFICATE-----
Zertifizierungsstellen
Unsere Browser haben eine Liste von Zertifizierungsstellen, die sie als vertrauenswürdig betrachten. Wenn wir eine sichere Webseite aufrufen, prüft der Browser, ob ein Zertifikat auf dem Server vorhanden ist und von wem es ausgestellt wurde.
SSL für Email
SSL wird nicht nur zum Nachweis der Sicherheit von Webseiten verwendet, sondern auch zum Verschlüsseln von Emails – egal, ob Mails mit Outlook auf dem Desktop-Rechner oder mit dem Smartphone versendet werden. Die Browser-basierten Mailprogramme wie Google-Mail, Horde oder Apple-Mail aktivieren die SSL-Verschlüsselung automatisch.
SSL für Login-Seiten
Zertifikate können nicht nur von offiziellen Quellen erstellt werden. Für die Verwaltung des Webservers, VServers und bei Webmail zählt in erster Linie die Verschlüsselung. Die Codierung schützt uns vor Viren und Trojanern, die unverschlüsselte Daten abhören.
Selbst erstellte Zertifikate müssen den Browsern und Emailprogrammen »beigebracht« werden und sie gelten natürlich nur im eigenen Browser – z.B. zur Absicherung der Loginseite. Für die Homepage und den Blog, aber auch für die Firmenseite reicht auch schon ein kostenloses Zertifikat wie Let's encrypt, das von allen Browsern anerkannt wird. Dann kann die Webseite von http auf https umgestellt werden.