Bildnachweis: ©vege – stock.adobe.com

Für sicheres Surfen im Web: das SSL-Zertifikat

Brechen Diebe in ein Haus oder einen Laden, ist das in der Regel deutlich sichtbar: Eingeschlagene Fensterscheiben oder eine mit Gewalt geöffnete Tür hinterlassen ebenso Spuren wie ein heimlich geöffneter Brief. Während jedoch Fenster und Türen selbstverständlich fest verschlossen werden, sobald Wohnung, Haus oder Laden verlassen werden, ist das mit der Sicherheit im Web oft anders.

Der Aufruf einer Seite

Rufst du eine Seite im Internet auf, wird diese mittels HTTP übertragen und du kannst sie auf dem Bildschirm ansehen.

Was ist HTTP?

HTTP ist die Abkürzung für Hypertext Transfer Protocol und wird zur Datenübertragung in Netzwerken und zum Laden von Websites genutzt. Sobald du in deinem Browser eine Webseite aufrufst, werden damit alle Daten vom Server zum Rechner – und umgekehrt natürlich auch – übertragen. Da sämtliche Daten per HTTP unverschlüsselt übertragen werden, können sie auch mitgelesen werden. Das ist ähnlich wie bei einer Postkarte, die jeder lesen kann, der sie in die Hand nimmt. Deswegen werden ja auf Postkarten keine intimen Details, sondern nur herzliche Grüße verschickt.
Werden die Daten jedoch mittels HTTPS übertragen, sind sie verschlüsselt. Dafür sorgt SSL/TLS. Jetzt steckt die Postkarte gewissermaßen in einem Briefumschlag, der sich – dank der Chiffrierung – auch nicht einfach wie ein Brief über dem Wasserdampf öffnen und lesen lässt.

Was ist HTTPS?

HTTPS ist die Abkürzung für Hypertext Transfer Protocol Secure. Die Daten werden ebenso wie im HTTP übertragen, zusätzlich noch mit SSL/TLS verschlüsselt.
SSL: Secure Sockets Layer
TLS: Transport Layer Security

Wie du sehen kannst, ob die Verbindung sicher ist.

Du rufst einfach deinen bevorzugten Browser auf: Mozilla, Chrome, Safari… je nachdem, welchen du benutzt. Ob die Verbindung zur Webseite per HTTP oder HTTPS erfolgt, siehst du dort.
Rufst du die Login-Seite eines Online-Händlers wie Amazon auf, erscheint dieser im Browser:
Vor dem www.amazon.de siehst du ein kleines Schloss, vor dem ein https steht. Beides ist mit einem grauen Balken hinterlegt. Klickst du darauf, kannst du dir das Zertifikat ansehen.
Rufst du die Seite von Ebay auf, ist das https-Zertifikat grün hinterlegt und zeigt den Namen des Unternehmens an.

Tipp: Sicher auch mit einer HTTP-Übertragung

Die großen Online-Händler wie Amazon oder Ebay haben ihre Daten vorbildlich gesichert, Ebay mit dem EV-SSL-Zertifikat sogar noch ein bisschen mehr als Amazon. Rufst du einen kleineren Online-Händler auf, kann es passieren, dass erst dann eine HTTPS-Verbindung aufgebaut wird, wenn du dort einkaufen willst und deine persönlichen Daten eingibst. Solange du nur auf der Seite surfst, werden die Daten mittels HTTP übertragen und du kannst dich über eine kürzere Ladezeit freuen.
Benutzt du WordPress empfehle ich dir auf jeden Fall eine sichere Übertragung, denn WordPress ist auf Grund seiner Beliebtheit immer begehrtes Ziel für Hacker.

ACHTUNG
Hast du ein Kontaktformular, bist du verpflichtet dieses sicher zu übertragen. Auch solltest du deine Besucher darüber aufklären, was mit ihren Daten passiert. Dazu habe ich folgenden Satz über mein Kontaktformular gestellt: „Deine Daten werden für die Zwecke deiner Anfrage verarbeitet und im Übrigen verweise ich auf die Datenschutzerklärung.“

Warum verwendet nicht jede Website HTTPS?

Wer als Webmaster eine verschlüsselte Verbindung per HTTPS einrichten will, muss dafür in der Regel Geld bezahlen. Zwar haben die meisten Provider eine SSL/TLS-Bibliothek, doch diese allein reicht nicht aus. Für das SSL/TLS-Protokoll wird zusätzlich ein Digitales Zertifikat benötigt, das für die Verschlüsselung bei der Datenübertragung zuständig ist und aus dem HTTP ein HTTPS macht.
Hast du deine Website bei All Inkl gehostet, kann sz du das kostenlose und freie Zertifikat „Let’s Encrypt“ verwenden. Das nutze ich auch für mich selbst und meine Kundenprojekte. Übrigens ist dieser Provider auch meine ganz persönliche Empfehlung von mir. In meinen Tools findest du alle passenden Links.

Es gibt zwei unterschiedliche Zertifikate:

SSL-Zertifikat mit einfacher Validierung, wie das von Amazon: Der Server wird mit Domain und IP-Adresse eindeutig identifiziert.
SSL-Zertifikat mit erweiterter Validierung wie bei Ebay: Der Server wird mit Domain und IP-Adresse eindeutig identifiziert, zusätzlich wird die Postanschrift des Antragstellers überprüft.

HTTPS ist freundlich zum Anwender

Viele kommerziellen Webseiten sind sowohl per HTTPS als auch per HTTP erreichbar. Allerdings wäre es mühsam, wenn du vor dem Aufruf einer Website erst prüfen müsstest, ob diese per HTTP oder HTTPS erreichbar ist. Für den Mozilla Firefox und Google Chrom übernimmt das ein kleines Tool als Add-On. Rufst du eine Webseite auf, fordert das Tool diese zunächst per HTTPS an und überträgt die Daten auch dann verschlüsselt, wenn nur ein Teil von ihnen verschlüsselt wird. Bei News-Seiten werden häufig die Textdaten verschlüsselt, während die Bilder unverschlüsselt übertragen werden: Damit bleibt die Ladegeschwindigkeit der Seite relativ hoch. Damit der Browser das Tool nutzen kann, muss auf der Webseite ein Ruleset implementiert sein.

Fazit

HTTPS ist eine technisch recht aufwändige Angelegenheit, deswegen habe ich in diesem ersten Beitrag dir erst einmal gezeigt, auf welche Details du als Nutzer achten musst, falls du persönliche Daten oder deine Bankverbindung in ein Formular eintragen sollst. Verfügt die Webseite an dieser Stelle über eine HTTPS-Verschlüsselung, kannst du dir sicher sein, dass deine Daten sicher übertragen und nicht von Dritten ausgelesen werden können. Wenn du selbst einen Webshop betreibst, dann weißt du jetzt, dass SSL-Zertifikate zwar sehr sinnvoll für die Sicherheit sind, du für sie aber auch bezahlen musst.

Tipp: Betreibst du einen Webshop und nutzt HTTPS, erkennt Google das an und sorgt (wahrscheinlich) für ein besseres Ranking deiner Webseite.