Zertifikate: Unterschied zwischen den Versionen
Petra (Diskussion | Beiträge) |
Petra (Diskussion | Beiträge) |
||
| Zeile 1: | Zeile 1: | ||
| − | + | == Das Digitale Zertifikat == | |
| − | |||
| − | |||
| − | == | ||
<br> | <br> | ||
[[Datei:Wiki_zertifikat.png|left|200px]]Ein digitales Zertifikat sorgt für Sicherheit im Internet und dient als [[Verifizierung]] für Computer und Organisationen. Im normalen Leben ist ein Zertifikat vergleichbar mit dem Personalausweis bzw. einer schriftlichen Beglaubigung und stellt einen sicheren Datenaustausch zwischen zwei Punkten sicher. Ein Zertifikat wird von einer offiziellen vertrauenswürdigen Institution verifiziert und ist damit nicht fälschbar. Der [https://de.wikipedia.org/wiki/X.509 Standard X.509] spezifiziert in Zertifikaten u.a. folgende Pflichtangaben: Die Versionsnummer, die Seriennummer, den Namen des Zertifikatsinhabers, Zertifizierungsstelle, die Gültigkeitsdauer, Seriennummer, Informationen zum öffentlichen Schlüssel, eindeutige Aussteller-ID, eindeutige Inhaber-ID, Erweiterungen und die Digitale Signatur der Zertifizierungsstelle [https://technet.microsoft.com/de-de/library/bb123848(v=exchg.65).aspx mehr >>]. '''Zertifikate bestätigen also die Echtheit des Absenders bzw. die Authentizität einer Website'''. Der Anwender kann also sicher sein, dass er auch wirklich auf die angeforderte Website zugreift und Daten verschlüsselt übertragen werden. | [[Datei:Wiki_zertifikat.png|left|200px]]Ein digitales Zertifikat sorgt für Sicherheit im Internet und dient als [[Verifizierung]] für Computer und Organisationen. Im normalen Leben ist ein Zertifikat vergleichbar mit dem Personalausweis bzw. einer schriftlichen Beglaubigung und stellt einen sicheren Datenaustausch zwischen zwei Punkten sicher. Ein Zertifikat wird von einer offiziellen vertrauenswürdigen Institution verifiziert und ist damit nicht fälschbar. Der [https://de.wikipedia.org/wiki/X.509 Standard X.509] spezifiziert in Zertifikaten u.a. folgende Pflichtangaben: Die Versionsnummer, die Seriennummer, den Namen des Zertifikatsinhabers, Zertifizierungsstelle, die Gültigkeitsdauer, Seriennummer, Informationen zum öffentlichen Schlüssel, eindeutige Aussteller-ID, eindeutige Inhaber-ID, Erweiterungen und die Digitale Signatur der Zertifizierungsstelle [https://technet.microsoft.com/de-de/library/bb123848(v=exchg.65).aspx mehr >>]. '''Zertifikate bestätigen also die Echtheit des Absenders bzw. die Authentizität einer Website'''. Der Anwender kann also sicher sein, dass er auch wirklich auf die angeforderte Website zugreift und Daten verschlüsselt übertragen werden. | ||
| − | === | + | === Wofür braucht man digitale Zertifikate? === |
Die normalen Kommunikationsmethoden im Internet wurden unter der Maßgabe entwickelt, technisch robust und dennoch einfach zu sein. Die heutigen Anforderungen sicherer Kommunikation standen anfangs nicht zur Diskussion. Das hat leider zur Folge, dass es relativ einfach ist, über das Internet versendete Daten zu manipulieren bzw. sicher '''sein zu können''', dass Daten tatsächlich vom angegebenen Absender stammen oder nur zum angegebenen Adressaten gelangen. Dies öffnet Manipulationen Tür und Tor und macht diese Art der Kommunikation nicht eben vertrauenswürdig. | Die normalen Kommunikationsmethoden im Internet wurden unter der Maßgabe entwickelt, technisch robust und dennoch einfach zu sein. Die heutigen Anforderungen sicherer Kommunikation standen anfangs nicht zur Diskussion. Das hat leider zur Folge, dass es relativ einfach ist, über das Internet versendete Daten zu manipulieren bzw. sicher '''sein zu können''', dass Daten tatsächlich vom angegebenen Absender stammen oder nur zum angegebenen Adressaten gelangen. Dies öffnet Manipulationen Tür und Tor und macht diese Art der Kommunikation nicht eben vertrauenswürdig. | ||
| Zeile 23: | Zeile 20: | ||
| − | === | + | === Transport Layer Security: SSL/TLS === |
SSL ist die Abkürzung für den englischen Begriff Secure Sockets Layer und bezeichnet ein hybrides Verschlüsselungsprotokoll, welches zur sicheren Datenübertragung im Internet verwendet wird. Bei allen Vorgängen, bei denen es um die Übermittlung von privaten oder vertraulichen Daten im Internet geht, sollte auf den fachgerechten Umgang mit derartigen Daten geachtet werden. Hier können SSL Zertifikate das Risiko von Betrug oder Missbrauch senken. | SSL ist die Abkürzung für den englischen Begriff Secure Sockets Layer und bezeichnet ein hybrides Verschlüsselungsprotokoll, welches zur sicheren Datenübertragung im Internet verwendet wird. Bei allen Vorgängen, bei denen es um die Übermittlung von privaten oder vertraulichen Daten im Internet geht, sollte auf den fachgerechten Umgang mit derartigen Daten geachtet werden. Hier können SSL Zertifikate das Risiko von Betrug oder Missbrauch senken. | ||
| Zeile 37: | Zeile 34: | ||
| − | === | + | === Wie funktioniert ein Zertifikat? === |
Ein Zertifikat enthält wie schon gesagt, u.a. eindeutige Informationen über den Service bzw. Webseite. Dennoch ist die Signatur der wichtigste Teil eines Zertifikates. Diese stellt sicher, dass die Kommunikation verifiziert und zudem verschlüsselt über das Internet mit dem Gegenüber stattfindet. (übertragene Daten wie Login, Zahlungsdaten, persönliche Daten werden verschlüsselt z.B. an die Sparkasse übertragen) | Ein Zertifikat enthält wie schon gesagt, u.a. eindeutige Informationen über den Service bzw. Webseite. Dennoch ist die Signatur der wichtigste Teil eines Zertifikates. Diese stellt sicher, dass die Kommunikation verifiziert und zudem verschlüsselt über das Internet mit dem Gegenüber stattfindet. (übertragene Daten wie Login, Zahlungsdaten, persönliche Daten werden verschlüsselt z.B. an die Sparkasse übertragen) | ||
| Zeile 44: | Zeile 41: | ||
| − | === | + | === Verschiedene Varianten bei Zertifikaten === |
Zertifikate werden grob unterschieden in: Stärke der Verschlüsselung (Standard: 128 Bit / 256 Bit); Domain- oder Identitätsvalidiert; Browserkompatibilität bzw. Akzeptanz; Zertifikatsart (Single, Wildcard, Multidomain) und lassen sich grundsätzlich in drei Bereichen einteilen: | Zertifikate werden grob unterschieden in: Stärke der Verschlüsselung (Standard: 128 Bit / 256 Bit); Domain- oder Identitätsvalidiert; Browserkompatibilität bzw. Akzeptanz; Zertifikatsart (Single, Wildcard, Multidomain) und lassen sich grundsätzlich in drei Bereichen einteilen: | ||
| Zeile 56: | Zeile 53: | ||
| − | === | + | === Neben den drei verschiedenen Validationsmöglichkeiten lassen sich zudem drei verschiedene Zertifikatarten unterscheiden. === |
| Zeile 69: | Zeile 66: | ||
| − | === | + | === Browser-Kompatibilität === |
Wenn ein Browser oder ein Betriebssystem ein SSL- oder Code Signing-Zertifikat erkennt, wird die Gültigkeit und Vertrauenswürdigkeit des Zertifikats überprüft. Ein SSL-Zertifikat wird dann als vertrauenswürdig eingestuft, wenn es von einer vertrauenswürdigen Stelle signiert wurde oder ein vorinstalliertes Stammzertifikat vorhanden ist. Stammzertifikate weltweit anerkannten Zertifizierungsstellen, sind seit 1996 in allen gängigen Browsern vorinstalliert. | Wenn ein Browser oder ein Betriebssystem ein SSL- oder Code Signing-Zertifikat erkennt, wird die Gültigkeit und Vertrauenswürdigkeit des Zertifikats überprüft. Ein SSL-Zertifikat wird dann als vertrauenswürdig eingestuft, wenn es von einer vertrauenswürdigen Stelle signiert wurde oder ein vorinstalliertes Stammzertifikat vorhanden ist. Stammzertifikate weltweit anerkannten Zertifizierungsstellen, sind seit 1996 in allen gängigen Browsern vorinstalliert. | ||
| − | === | + | === Wer stellt Zertifikate aus, welche Anbieter gibt es? === |
Wenn man jetzt denkt, Zertifikate sind vereinheitlicht bzw. standardisiert und werden von einer Stelle ausgestellt, der irrt hier. Allerdings existiert eine Reihe von internationalen Standards zur Zertifizierung einzelner Aspekte der IT, die auch für [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Mindestanforderungen/Eckpunktepapier-Sicherheitsempfehlungen-CloudComputing-Anbieter.pdf?__blob=publicationFile Cloud Computing] relevant sind. In unserem Beispiel der Sparkasse Köln/Bonn, wurde das Zertifikat von der Symantec Corporation ausgestellt und gehört zu den größten und bekanntesten Ausstellern von Zertifikaten im Internet. Wer sich ein Zertifikat zulegen möchte, findet im Internet reichlich Auswahl an Zertifizierungsstellen (certificate authority, CA). Leider fehlt oftmals die Transparenz... | Wenn man jetzt denkt, Zertifikate sind vereinheitlicht bzw. standardisiert und werden von einer Stelle ausgestellt, der irrt hier. Allerdings existiert eine Reihe von internationalen Standards zur Zertifizierung einzelner Aspekte der IT, die auch für [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Mindestanforderungen/Eckpunktepapier-Sicherheitsempfehlungen-CloudComputing-Anbieter.pdf?__blob=publicationFile Cloud Computing] relevant sind. In unserem Beispiel der Sparkasse Köln/Bonn, wurde das Zertifikat von der Symantec Corporation ausgestellt und gehört zu den größten und bekanntesten Ausstellern von Zertifikaten im Internet. Wer sich ein Zertifikat zulegen möchte, findet im Internet reichlich Auswahl an Zertifizierungsstellen (certificate authority, CA). Leider fehlt oftmals die Transparenz... | ||
| Zeile 89: | Zeile 86: | ||
| − | === | + | === Was bedeuten kostenlose Zertifikate === |
Für Unternehmen ist es besonders wichtig, das Risiko zu erkennen, das mit der Nutzung kostenloser Zertifikate verbunden ist, vor allem wenn bei Cyberangriffen immer mehr Zertifikate genutzt werden. Unlängst wurden z.B. [http://www.searchsecurity.de/meinung/Was-bedeuten-kostenloser-Zertifikate-fuer-Sicherheitsverantwortliche Let’s-Encrypt-Zertifikate sowie StartCom-Zertifikate EV-Zertifikate] für Malvertising-Angriffe missbraucht. Cyberkriminelle könnten also gerade diese Zertifikate nutzen, um damit Schaden anzurichten. Das ist ein weiterer Beleg dafür, dass die Frage, wie Unternehmen ihre Schlüssel und Zertifikate schützen, viel wichtiger ist, als die Frage, woher diese stammen. Die [https://www.sans.org/critical-security-controls SANS 20 Critical Cyber Security Controls] bieten eine erste Orientierung für Unternehmen, die eine sichere Verschlüsselung erreichen wollen. [https://raidboxes.de/blog/kostenloses-ssl-zertifikat-sicherheit/ Weiterführender Artikel Let’s Encrypt als Vollversion >>] | Für Unternehmen ist es besonders wichtig, das Risiko zu erkennen, das mit der Nutzung kostenloser Zertifikate verbunden ist, vor allem wenn bei Cyberangriffen immer mehr Zertifikate genutzt werden. Unlängst wurden z.B. [http://www.searchsecurity.de/meinung/Was-bedeuten-kostenloser-Zertifikate-fuer-Sicherheitsverantwortliche Let’s-Encrypt-Zertifikate sowie StartCom-Zertifikate EV-Zertifikate] für Malvertising-Angriffe missbraucht. Cyberkriminelle könnten also gerade diese Zertifikate nutzen, um damit Schaden anzurichten. Das ist ein weiterer Beleg dafür, dass die Frage, wie Unternehmen ihre Schlüssel und Zertifikate schützen, viel wichtiger ist, als die Frage, woher diese stammen. Die [https://www.sans.org/critical-security-controls SANS 20 Critical Cyber Security Controls] bieten eine erste Orientierung für Unternehmen, die eine sichere Verschlüsselung erreichen wollen. [https://raidboxes.de/blog/kostenloses-ssl-zertifikat-sicherheit/ Weiterführender Artikel Let’s Encrypt als Vollversion >>] | ||
| Zeile 95: | Zeile 92: | ||
| − | === | + | === Was ist ein Wildcard-SSL-Zertifikat? === |
Wildcard-SSL-Zertifikate sichern Ihre Website-URL und eine unbegrenzte Anzahl Subdomains. Das umfasst den allgemeine Namen und alle Subdomains auf der Ebene. '''Beispiel:''' Wenn ein Zertifikat für *.beispiel.com angefordert wird, sind folgende Bereiche möglich( beispiel.com; www.beispiel.com; fotos.beispiel.com; blog.beispiel.com) | Wildcard-SSL-Zertifikate sichern Ihre Website-URL und eine unbegrenzte Anzahl Subdomains. Das umfasst den allgemeine Namen und alle Subdomains auf der Ebene. '''Beispiel:''' Wenn ein Zertifikat für *.beispiel.com angefordert wird, sind folgende Bereiche möglich( beispiel.com; www.beispiel.com; fotos.beispiel.com; blog.beispiel.com) | ||
| − | === | + | === Wie wird ein SSL-Zertifikat installiert? === |
Bevor ein SSL-Zertifikat gekauft und installiert werden kann, musst auf dem Server ein [https://de.wikipedia.org/wiki/Certificate_Signing_Request CSR] erzeugen werden. Diese Datei enthält u.a. Daten über den Server, den öffentlichen Schlüssel und ist erforderlich, um den privaten Schlüssel zu erzeugen. Eine bebilderte Anleitung wie ein SSL-Zertifikat installiert werden kann, finden Sie hier: [http://de.wikihow.com/Ein-SSL-Zertifikat-installieren WikiHow] | Bevor ein SSL-Zertifikat gekauft und installiert werden kann, musst auf dem Server ein [https://de.wikipedia.org/wiki/Certificate_Signing_Request CSR] erzeugen werden. Diese Datei enthält u.a. Daten über den Server, den öffentlichen Schlüssel und ist erforderlich, um den privaten Schlüssel zu erzeugen. Eine bebilderte Anleitung wie ein SSL-Zertifikat installiert werden kann, finden Sie hier: [http://de.wikihow.com/Ein-SSL-Zertifikat-installieren WikiHow] | ||
| Zeile 112: | Zeile 109: | ||
| − | === | + | === Was tun, wenn ein SSL-Zertifikat abgelaufen ist? === |
Je nach Zertifikat kann die Gültigkeit zwischen einem und zehn Jahren betragen. Dabei gibt es immer die Option auf eine automatische Laufzeitverlängerung. Entscheidend für die Vertrauenswürdigkeit einer Seite ist, dass Ihr SSL-Zertifikat gültig ist. Bei abgelaufenen Zertifikaten bekommen die Nutzer einen entsprechenden Sicherheitshinweis. | Je nach Zertifikat kann die Gültigkeit zwischen einem und zehn Jahren betragen. Dabei gibt es immer die Option auf eine automatische Laufzeitverlängerung. Entscheidend für die Vertrauenswürdigkeit einer Seite ist, dass Ihr SSL-Zertifikat gültig ist. Bei abgelaufenen Zertifikaten bekommen die Nutzer einen entsprechenden Sicherheitshinweis. | ||
| Zeile 119: | Zeile 116: | ||
| − | === | + | === Häufige Fehlermeldungen bei SSL Zertifikaten === |
'''1. SSL-Verbindungsfehler - Lösungen<br>''' | '''1. SSL-Verbindungsfehler - Lösungen<br>''' | ||
| Zeile 142: | Zeile 139: | ||
| − | === | + | === Linksammlung und Vergleiche === |
Aktuelle Version vom 26. März 2019, 08:21 Uhr
Inhaltsverzeichnis
- 1 Das Digitale Zertifikat
- 1.1 Wofür braucht man digitale Zertifikate?
- 1.2 Transport Layer Security: SSL/TLS
- 1.3 Wie funktioniert ein Zertifikat?
- 1.4 Verschiedene Varianten bei Zertifikaten
- 1.5 Neben den drei verschiedenen Validationsmöglichkeiten lassen sich zudem drei verschiedene Zertifikatarten unterscheiden.
- 1.6 Browser-Kompatibilität
- 1.7 Wer stellt Zertifikate aus, welche Anbieter gibt es?
- 1.8 Was bedeuten kostenlose Zertifikate
- 1.9 Was ist ein Wildcard-SSL-Zertifikat?
- 1.10 Wie wird ein SSL-Zertifikat installiert?
- 1.11 Was tun, wenn ein SSL-Zertifikat abgelaufen ist?
- 1.12 Häufige Fehlermeldungen bei SSL Zertifikaten
- 1.13 Linksammlung und Vergleiche
Das Digitale Zertifikat
Ein digitales Zertifikat sorgt für Sicherheit im Internet und dient als Verifizierung für Computer und Organisationen. Im normalen Leben ist ein Zertifikat vergleichbar mit dem Personalausweis bzw. einer schriftlichen Beglaubigung und stellt einen sicheren Datenaustausch zwischen zwei Punkten sicher. Ein Zertifikat wird von einer offiziellen vertrauenswürdigen Institution verifiziert und ist damit nicht fälschbar. Der Standard X.509 spezifiziert in Zertifikaten u.a. folgende Pflichtangaben: Die Versionsnummer, die Seriennummer, den Namen des Zertifikatsinhabers, Zertifizierungsstelle, die Gültigkeitsdauer, Seriennummer, Informationen zum öffentlichen Schlüssel, eindeutige Aussteller-ID, eindeutige Inhaber-ID, Erweiterungen und die Digitale Signatur der Zertifizierungsstelle mehr >>. Zertifikate bestätigen also die Echtheit des Absenders bzw. die Authentizität einer Website. Der Anwender kann also sicher sein, dass er auch wirklich auf die angeforderte Website zugreift und Daten verschlüsselt übertragen werden.
Wofür braucht man digitale Zertifikate?
Die normalen Kommunikationsmethoden im Internet wurden unter der Maßgabe entwickelt, technisch robust und dennoch einfach zu sein. Die heutigen Anforderungen sicherer Kommunikation standen anfangs nicht zur Diskussion. Das hat leider zur Folge, dass es relativ einfach ist, über das Internet versendete Daten zu manipulieren bzw. sicher sein zu können, dass Daten tatsächlich vom angegebenen Absender stammen oder nur zum angegebenen Adressaten gelangen. Dies öffnet Manipulationen Tür und Tor und macht diese Art der Kommunikation nicht eben vertrauenswürdig. Zusammenfassend lässt sich sagen, dass digitale Signaturen durch den kryptografischen Vorgang folgendes verifizieren und sichern:
1. Das Dokument ist authentisch und stammt von einer verifizierten Quelle
2. Das Dokument wurde seit der digitalen Signierung nicht manipuliert. Ist ein Dokument seit der Signaturanbringung geändert worden, wird die Signatur als ungültig angezeigt
3. Ihre Identität ist von einer vertrauenswürdigen Organisation (CA) verifiziert worden
Ein Beispiel: Wird der Internetauftritt der Sparkasse bzw. wie von vielen öffentlichen Einrichtungen besucht, zeigt z.B. der Browser ein grünes Feld bzw. bei anderen Browsern ein grünes Schloss neben der Adresszeile an. Das bedeutet für den Seitenbesucher, dass für diese Verbindung ein geprüftes Zertifikat eingebunden ist.
Transport Layer Security: SSL/TLS
SSL ist die Abkürzung für den englischen Begriff Secure Sockets Layer und bezeichnet ein hybrides Verschlüsselungsprotokoll, welches zur sicheren Datenübertragung im Internet verwendet wird. Bei allen Vorgängen, bei denen es um die Übermittlung von privaten oder vertraulichen Daten im Internet geht, sollte auf den fachgerechten Umgang mit derartigen Daten geachtet werden. Hier können SSL Zertifikate das Risiko von Betrug oder Missbrauch senken.
Für den Anwender zeigt sich ein SSL-Zertifikat mit folgenden Merkmalen:
1. Im Browser - Der Browser zeigt statt des Übertragungsprotokolls http:// die verschlüsselte Variante https:// an. Zusätzlich wird in einer der Statusleisten des Browsers ein Symbol in Form eines Schildes oder Schlosses angezeigt, um auf die erhöhte Sicherheit hinzuweisen. Einige Zertifikate werden durch eine "grüne Browserleiste" im Adressfeld angezeigt.
2. Auf der Webseite - Auf Webseiten mit SSL Zertifikat sind meist entsprechende Siegel oder Logos abgebildet, die mehr Informationen über die verwendete Verschlüsselung Variante geben.
Wie funktioniert ein Zertifikat?
Ein Zertifikat enthält wie schon gesagt, u.a. eindeutige Informationen über den Service bzw. Webseite. Dennoch ist die Signatur der wichtigste Teil eines Zertifikates. Diese stellt sicher, dass die Kommunikation verifiziert und zudem verschlüsselt über das Internet mit dem Gegenüber stattfindet. (übertragene Daten wie Login, Zahlungsdaten, persönliche Daten werden verschlüsselt z.B. an die Sparkasse übertragen)
Digitale Zertifikate beruhen auf einem "Public-Key-Verfahren" und arbeiten mit öffentlichen und privaten Schlüsseln. Der private Schlüssel (nur dem Benutzer bekannt) wird verwendet, um eine digitale Unterschrift zu erstellen. Der öffentliche Schlüssel dient dazu, die digitale Unterschrift zu verifizieren. Um eine Botschaft verschlüsselt zu übertragen, werden beide Schlüssel benötigt. Beispiel: Bei Erstellung einer Nachricht wird diese mit dem öffentlichen Schlüssel des Empfängers verschlüsselt. Nur der berechtigte Empfänger und Inhaber des entsprechenden privaten Schlüssel, kann die Nachricht wieder entschlüsseln und öffnen.
Verschiedene Varianten bei Zertifikaten
Zertifikate werden grob unterschieden in: Stärke der Verschlüsselung (Standard: 128 Bit / 256 Bit); Domain- oder Identitätsvalidiert; Browserkompatibilität bzw. Akzeptanz; Zertifikatsart (Single, Wildcard, Multidomain) und lassen sich grundsätzlich in drei Bereichen einteilen:
1. Domain Validation: Die Domain Validation ist am meisten verbreitet und eignet sich für kleinere Webseiten, Intranets, Blogs und Mailserver. Die Domaininhaberschaft wird lediglich per E-Mail überprüft und bietet somit keine Identitäts Validation. Vorteil ist, das DV-Zertifikat kanner innerhalb weniger Minuten ausgestellt werden. Durch Klick auf das Schloss vor der Internetadresse wird der Domainname der Seite angezeigt.
2. Organisation Validation: Ein OV-Zertifikat verifiziert die Echtheit einer Organisation oder eines Unternehmens. Für das Ausstellen eines OV-Zertifikats wird ein Unternehmen zunächst einem Validierungsprozess unterzogen. Hier werden von der Zertifizierungsstelle die Existenz des Unternehmens mittels staatlicher Unternehmensregister, Onlineverzeichnissen und telefonischen Kontakt überprüft. Sobald die Website per OV-Zertifikat gesichert ist, sehen Besucher der Webseite das bekannte Schloss-Symbol neben der Adressleiste im Browser. Hauptsächlich in Webshops, Unternehmensseiten und Webmail im Einsatz.
3. Extended Validation: EV-Zertifikate stehen für eine erweiterte Überprüfung, gelten derzeit als sicherste und vertrauenswürdigste Lösung für die weltweit führenden Online-Unternehmen. Optisch unterscheidet sich die Webseite mit einem EV-Zertifikat über die grüne Browser-Adresszeile zu den beiden anderen Zertifikaten.
Neben den drei verschiedenen Validationsmöglichkeiten lassen sich zudem drei verschiedene Zertifikatarten unterscheiden.
1. SSL Zertifikat für eine Domain: Wenn das SSL Zertifikat für nur eine Domain genutzt werden soll, wird ein Single Root Zertifikat benötigt. Dieses kann für den Schutz einer Domain wie beispielsweise www.meinedomain.de verwendet werden. Diese Art von Zertifikaten ist für alle Validationsvarianten möglich.
2. SSL Zertifikat für mehrere Domains: Möchten Sie mehrere Domains per SSL schützen, so ist ein Multidomain Zertifikat nötig. Damit kann die SSL Verschlüsselung auf mehreren Domains wie zum Beispiel www.meinedomain.de und www.meinshop.de genutzt werden. Diese Art von Zertifikaten steht für alle Validationsvarianten zur Verfügung.
3. SSL Zertifikat für mehrere Subdomains: Sollen verschiedene Subdomains von der SSL Verschlüsselung profitieren, dann kommen Wildcard Zertifikate zum Einsatz. So kann SSL beispielsweise für shop.meinedomain.de und mail.meinedomain.de eingesetzt werden. Diese Art von Zertifikaten kann nicht mit einem Extended Validation Zertifikat genutzt werden, da diese grundsätzlich nicht für Subdomains ausgestellt werden.
Praxistipp: So sichern Banken ihre Websites
Browser-Kompatibilität
Wenn ein Browser oder ein Betriebssystem ein SSL- oder Code Signing-Zertifikat erkennt, wird die Gültigkeit und Vertrauenswürdigkeit des Zertifikats überprüft. Ein SSL-Zertifikat wird dann als vertrauenswürdig eingestuft, wenn es von einer vertrauenswürdigen Stelle signiert wurde oder ein vorinstalliertes Stammzertifikat vorhanden ist. Stammzertifikate weltweit anerkannten Zertifizierungsstellen, sind seit 1996 in allen gängigen Browsern vorinstalliert.
Wer stellt Zertifikate aus, welche Anbieter gibt es?
Wenn man jetzt denkt, Zertifikate sind vereinheitlicht bzw. standardisiert und werden von einer Stelle ausgestellt, der irrt hier. Allerdings existiert eine Reihe von internationalen Standards zur Zertifizierung einzelner Aspekte der IT, die auch für Cloud Computing relevant sind. In unserem Beispiel der Sparkasse Köln/Bonn, wurde das Zertifikat von der Symantec Corporation ausgestellt und gehört zu den größten und bekanntesten Ausstellern von Zertifikaten im Internet. Wer sich ein Zertifikat zulegen möchte, findet im Internet reichlich Auswahl an Zertifizierungsstellen (certificate authority, CA). Leider fehlt oftmals die Transparenz...
LISTE:
Eine Alternative sind selbst ausgestellte SSL-Zertifikate, die allerdings nicht von einer Zertifizierungsstelle unterschrieben werden, sondern vom Ersteller selbst. Hierbei ist dann Folgendes zu beachten:
1. Browser reagieren auf selbst ausgestellte SSL-Zertifikate mit einer Warnmeldung, da sie über keine Unterschrift einer bekannten Zertifizierungsstelle verfügen. Jeder Browser wird mit einer Liste von CA-Zertifikaten ausgeliefert – die Liste von Firefox lässt sich einsehen.
2. Ganz umsonst sind diese Browser Warnmeldungen jedoch nicht, sondern sollen eigentlich sicherstellen, dass niemand die verschlüsselte Verbindung abhören bzw. umleiten kann. Ein Zertifikatsfehler bzw. die Warnmeldung erscheint auch dann, wenn ein Angreifer einen Man-in-the-middle-Angriff durchführt. Dadurch wäre er in der Lage die Anmeldedaten im Klartext mitzuschneiden.
Was bedeuten kostenlose Zertifikate
Für Unternehmen ist es besonders wichtig, das Risiko zu erkennen, das mit der Nutzung kostenloser Zertifikate verbunden ist, vor allem wenn bei Cyberangriffen immer mehr Zertifikate genutzt werden. Unlängst wurden z.B. Let’s-Encrypt-Zertifikate sowie StartCom-Zertifikate EV-Zertifikate für Malvertising-Angriffe missbraucht. Cyberkriminelle könnten also gerade diese Zertifikate nutzen, um damit Schaden anzurichten. Das ist ein weiterer Beleg dafür, dass die Frage, wie Unternehmen ihre Schlüssel und Zertifikate schützen, viel wichtiger ist, als die Frage, woher diese stammen. Die SANS 20 Critical Cyber Security Controls bieten eine erste Orientierung für Unternehmen, die eine sichere Verschlüsselung erreichen wollen. Weiterführender Artikel Let’s Encrypt als Vollversion >>
Was ist ein Wildcard-SSL-Zertifikat?
Wildcard-SSL-Zertifikate sichern Ihre Website-URL und eine unbegrenzte Anzahl Subdomains. Das umfasst den allgemeine Namen und alle Subdomains auf der Ebene. Beispiel: Wenn ein Zertifikat für *.beispiel.com angefordert wird, sind folgende Bereiche möglich( beispiel.com; www.beispiel.com; fotos.beispiel.com; blog.beispiel.com)
Wie wird ein SSL-Zertifikat installiert?
Bevor ein SSL-Zertifikat gekauft und installiert werden kann, musst auf dem Server ein CSR erzeugen werden. Diese Datei enthält u.a. Daten über den Server, den öffentlichen Schlüssel und ist erforderlich, um den privaten Schlüssel zu erzeugen. Eine bebilderte Anleitung wie ein SSL-Zertifikat installiert werden kann, finden Sie hier: WikiHow
1. WordPress auf SSL umstellen: www.netz-gaenger.de/
2. SSL-Verschlüsselung in Joomla: www.joomla-security.de
3. Umstellung einer TYPO3-Website auf SSL: www.wacon.de
Youtube Beispiel: SSL-Zertifikat kostenlos auf Deiner Webseite installieren - All-inkl.com + WordPress Tutorial + Plugin
Was tun, wenn ein SSL-Zertifikat abgelaufen ist?
Je nach Zertifikat kann die Gültigkeit zwischen einem und zehn Jahren betragen. Dabei gibt es immer die Option auf eine automatische Laufzeitverlängerung. Entscheidend für die Vertrauenswürdigkeit einer Seite ist, dass Ihr SSL-Zertifikat gültig ist. Bei abgelaufenen Zertifikaten bekommen die Nutzer einen entsprechenden Sicherheitshinweis.
Das Verlängern eines SSL-Zertifikats ist ein mehrstufiger Prozess und ist abhängig von der Art eins Zertifikates und dem Ort, wo die Website gehostet ist. Da Zertifikate als Sicherheitsmerkmal nur eine begrenzte Gültigkeitsdauer haben, muss man diese regelmäßig erneuern. Wird ein Zertifikat nicht rechtzeitig erneuert, kommt es beim Zugriff auf den Server im besten Fall zur einer Warnung, die ignoriert werden kann. Andernfalls können Sicherheitsrichtlinien die Verbindung zum Server komplett verweigern. Aus diesem Grund ist es sehr wichtig, die Zertifikate rechtzeitig zu erneuern. Dazu gibt es Agenten bzw. Monitoring-Tool wie z.B. Zertifikats-Monitor von OpenNMS bzw. Nagios. Sollte sich nun ein Zertifikat dem Ablaufdatum nähern und die angegebene Vorwarnzeit unterschreiten, so wird ein Meldung erzeugt, der wie alle Ausfälle dieser Art auf der Oberfläche angezeigt wird und auf Wunsch auch über verschiedene Wege (z.B. E-Mail, SMS) kommuniziert werden kann.
Häufige Fehlermeldungen bei SSL Zertifikaten
1. SSL-Verbindungsfehler - Lösungen
- Systemdatum am Computer richtig eingestellen.
- Das Sicherheitszertifikat ist nur innerhalb eines bestimmten Zeitraums gültig.
- Bei einer falschen Systemuhrzeit ist das Sicherheitszertifikat für den betroffenen Rechner nicht gültig und es erscheint der „SSL-Verbindungsfehler“.
- Sollte die Systemzeit richtig eingestellt sein, muss der Anbieter der Webseite kontaktiert werden.
- Überprüfen ob unter Optionen des Browsers im Abschnitt „Sicherheit“, das „SSL3“ unter den „Sicherheitsprotokollen“ aktiviert ist.
- Unter dem Abschnitt „Zertifikate verwalten“ das abgelehnte Zertifikate anzeigen.
- Eventuell liegt hier ein Problem mit dem zur Verfügung gestellt<spanen Sicherheitszertifikat vor.
- Trotz des SSL-Verbindungsfehlers kann die Webseite in der Regel normal geöffnet werden.
2. Das Sicherheitszertifikat ist abgelaufen
3. SSL-Sicherheitszertifikat kann nicht geladen werden
Linksammlung und Vergleiche
SSL Zertifikate im Vergleich:
sslplus.de
thawte.de
profihost.com
DIE BESTEN SECURE SOCKETS LAYER IM VERGLEICH
Let’s Encrypt is a free, automated, and open Certificate Authority.
SSLPlus
