In den letz­ten Wochen habe ich in ver­schie­de­nen Inter­net­ar­ti­kel ver­mehrt gele­sen, dass für geschäft­li­che Web­auf­trit­te SSL-Zer­ti­fi­ka­te an Wich­tig­keit gewin­nen wer­den. Vor allem seit die neu­en Daten­schutz­re­geln der EU-Kom­mis­si­on beschlos­sen wur­den, die in einem Jahr — also 2018 — nun end­gül­tig in Kraft tre­ten wer­den.


Was steckt genau hinter dieser Datenschutzreform?

Bis­her gal­ten in den euro­päi­schen Län­dern unter­schied­li­che Daten­schutz­be­stim­mun­gen, in man­chen waren sie lascher, in ande­ren (wie Deutsch­land) deut­lich restrik­ti­ver. Mit die­sen Unter­schie­den soll im nächs­ten Jahr end­gül­tig Schluss sein, wenn die neue EU-Ver­ord­nung Anfang 2018 in Kraft tritt. Das neue EU-Gesetz wird von Exper­ten als bedeu­ten­der Schritt für mehr Ver­brau­cher­rech­te und mehr Wett­be­werb bewer­tet.

Dem­nach müs­sen dann die gro­ßen Inter­net­kon­zer­ne wie Face­book und Goog­le bei­spiels­wei­se sich die Zustim­mung der Daten­nut­zung von den Usern aus­drück­lich ein­ho­len. Inter­net­nut­zer bekom­men das Recht, Infor­ma­tio­nen und Daten über sich viel leich­ter löschen zu las­sen (“Recht auf Ver­ges­sen­wer­den”) sowie Daten von dem einen Anbie­ter zu einem ande­ren mit­zu­neh­men (“Por­ta­bi­li­tät”). Eine wei­te­re Auf­la­ge für Unter­neh­men ist, dass sie ihre Pro­duk­te daten­schutz­freund­lich vor­ein­stel­len.

Die­se Rege­lun­gen sol­len nicht nur für euro­päi­sche Unter­neh­men, son­dern u. a. auch für ame­ri­ka­ni­sche gel­ten. Ein Regel­ver­stoß kann teu­er wer­den, er soll mit einer Zah­lung von bis zu vier Pro­zent des Unter­neh­mens­um­sat­zes geahn­det wer­den.

Vor allem der Satz, dass Unter­neh­men ihre Pro­duk­te daten­schutz­freund­lich vor­ein­stel­len sol­len, führt mit Sicher­heit dazu, dass der Ein­satz von SSL-Zer­ti­fi­ka­ten in der nächs­ten Zukunft stark anstei­gen wird.

Dann dürf­te bei vie­len die nächs­te Fra­ge auf­kom­men: Was genau sind SSL-Zer­ti­fi­ka­te bzw. was ist SSL-Ver­schlüs­se­lung?

SSL-Verschlüsselung: Definition und bisherige Situation

Ich will die­sen Punkt nicht all­zu aus­führ­lich erläu­tern; wer nach genau­es­ten Aus­füh­run­gen suchen will, wird die­se im Inter­net zur Genü­ge fin­den. Jeden­falls wird SSL-Ver­schlüs­se­lung schon von vie­len Online-Por­ta­len ein­ge­setzt, vor allem dort, wo eine Daten­über­tra­gung mit sen­si­blen Daten statt­fin­det, die sicher sein soll und nicht von ande­ren im Netz sozu­sa­gen abge­hört oder abge­fan­gen wer­den kann.

SSL bedeu­tet übri­gens “Secu­re Sockets Lay­er”, was so viel heißt wie “Siche­re Ver­bin­dungs­ebe­ne”.

Haupt­säch­lich Online-Shops, Ban­ken, Ver­si­che­run­gen und auch sol­che Web­sites, auf denen auf irgend­ei­ne Wei­se Online-Bestel­lun­gen auf­ge­ge­ben wer­den, bie­ten eine SSL-Ver­schlüs­se­lung an. Dazu gehö­ren im Wesent­li­chen auch die Hosting­an­bie­ter oder Pro­vi­der, die den Kun­den das Online-Bestel­len von Hosting­pa­ke­ten ermög­li­chen.

Aber die meis­ten Web­sites ver­fü­gen über kei­ne SSL-Ver­schlüs­se­lung. Für eine nor­ma­le Fir­men­web­site, die gera­de mal über ein klas­si­sches Kon­takt­for­mu­lar für die Online-Kon­takt­auf­nah­me ver­fügt, war das auch nicht unbe­dingt not­wen­dig oder es wur­de nicht als not­wen­dig ange­se­hen. Obwohl auch dar­über Daten über­mit­telt wer­den. Das glei­che gilt für Blogs, die in den meis­ten Fäl­len unter den Blog­posts ein Kom­men­tar­for­mu­lar zur Ver­fü­gung stel­len.

Gemäß § 9 Bun­des­da­ten­schutz­ge­setz (BDSG) sol­len öffent­li­che und nicht-öffent­li­che Stel­len, die per­so­nen­be­zo­ge­ne Daten erhe­ben, ver­ar­bei­ten oder nut­zen, ent­spre­chen­de Maß­nah­men ergrei­fen, um die­se über­mit­tel­ten Daten zu schüt­zen. Danach müss­ten auch nor­ma­le Kon­takt­for­mu­la­re mit SSL-Ver­schlüs­se­lung aus­ge­stat­tet wer­den. Ande­rer­seits brau­chen Web­site-Besit­zer nur Maß­nah­men zu ergrei­fen, deren Auf­wand in einem ange­mes­se­nem Ver­hält­nis zum Schutz­zweck steht.

Ob da die SSL-Ver­schlüs­se­lung für ein Kon­takt­for­mu­lar oder ein Blog­kom­men­tar­feld schon zu auf­wän­dig ist, bleibt im Raum ste­hen. Jeden­falls sind mir bis jetzt kei­ne Rechts­fäl­le bekannt, wo Web­site-Besit­zer des­we­gen abge­mahnt wur­den. Was auch ziem­lich unüber­sicht­lich wäre, müss­ten doch wohl mehr als 75 Pro­zent aller Blog­ger und Web­site-Betrei­ber juris­tisch belangt wer­den.

Doch das Ende der unver­schlüs­sel­ten Blogs und Fir­men­web­sites dürf­te sich am Hori­zont abzeich­nen, denn mit den anste­hen­den neu­en Rege­lun­gen wer­den die Vor­ga­ben zum Daten­schutz mit Sicher­heit stren­ger geahn­det. Und mit einer SSL-Ver­schlüs­se­lung kann man als Blog­ger oder Web­site-Betrei­ber der gan­zen Unsi­cher­heit aus dem Weg gehen.

SSL-Zertifikate: Unterschiede und Arten

Um SSL-Ver­schlüs­se­lung anzu­bie­ten, benö­tigt man ein SSL-Zer­ti­fi­kat. Und die bekommt man meis­tens auch bei sei­nem Pro­vi­der zu unter­schied­li­chen Prei­sen, denn es gibt für jeden Bedarf ein spe­zi­el­les SSL-Zer­ti­fi­kat.

Hier eine Über­sicht, wor­in sich die SSL-Zer­ti­fi­ka­te unter­schei­den:

  • Stär­ke der Ver­schlüs­se­lung (Stan­dard: 128 Bit /​256 Bit)
  • domain- oder iden­ti­täts­va­li­diert
  • Zer­ti­fi­kats­art
    • Sin­gle
    • Wild­card (Haupt­do­main und Sub­do­mains)
    • Mul­ti­do­main

SSL-Zertifikate: Was bedeuten sie und welche Unterschiede gibt es?Ob eine Web­site über ein SSL-Zer­ti­fi­kat ver­fügt, erkennst du ganz ein­fach an der Inter­net­adres­se. Eine ver­schlüs­sel­te Sei­ten-URL beginnt statt mit http:// mit https://. An man­chen Web­sites ist vor­ne noch eine grü­ne Leis­te mit Schloss­sym­bol und Unter­neh­mens­na­me (Betrei­ber der Web­site) zu sehen. Bei die­ser Dar­stel­lung han­delt es sich um eine Erwei­ter­te Vali­die­rung (Exten­ded Vali­da­ti­on), das höchs­te SSL-Zer­ti­fi­kat, das es momen­tan gibt. Doch dazu spä­ter mehr.

Rechts siehst du so eine Erwei­ter­te Vali­die­rung (von dem Hosting­an­bie­ter Domain­fac­to­ry). Klickst du auf das Schloss­sym­bol, erhältst du wei­te­re Infor­ma­tio­nen zu der Ver­bin­dung.

Gene­rell hal­te ich eine Ein­tei­lung in drei unter­schied­li­che Vari­an­ten für sinn­voll. Unter­schie­den wird zwi­schen Domain Vali­da­ti­on, Orga­ni­sa­ti­on Vali­da­ti­on und Exten­ded Vali­da­ti­on.

Domain Vali­die­rung

Am höchs­ten ver­brei­tet ist die Domain Vali­die­rung (Domain Vali­da­ti­on). Bei die­sem Pro­zess wird die Domain per E‑Mail veri­fi­ziert. Dabei prüft die Zer­ti­fi­zie­rungs­stel­le nur, ob der Auf­trag­ge­ber der Domain­in­ha­ber ist. Nach der Bestä­ti­gung ist das Zer­ti­fi­kat inner­halb von ein paar Minu­ten aus­ge­stellt. Auch hier erhältst du nähe­re Infor­ma­tio­nen zur Ver­bin­dung, wenn du auf das Schloss­sym­bol vor dem htt­ps klickst.

Die­ses Zer­ti­fi­kat eig­net sich vor allem für klei­ne Web­sites, Blogs, für Mail­ser­ver oder ein Intra­net.

Orga­ni­sa­ti­on Vali­die­rung

Bei Orga­ni­sa­ti­on Vali­die­rung (Orga­ni­sa­ti­on Vali­da­ti­on) wird neben dem Domain­check noch eine Iden­ti­täts­prü­fung vor­ge­nom­men. Das Unter­neh­men muss Doku­men­te lie­fern, die es als Domain­in­ha­ber aus­wei­sen. Die­se Doku­men­te kön­nen ein Han­dels­re­gis­ter­aus­zug, Bank­da­ten, die dann abge­gli­chen wer­den, oder ein tele­fo­ni­scher Kon­takt sein.

Die bereit­ge­stell­ten Infor­ma­tio­nen wer­den abschlie­ßend mit dem WHOIS-Ein­trag ver­gli­chen. Bei die­sem Zer­ti­fi­kats­typ wird außer dem Domain­na­men auch der Name des Unter­neh­mens und der Ort ange­zeigt, wenn du auf das Schloss­sym­bol klickst.

Das Orga­ni­sa­ti­on Vali­die­rungs-Zer­ti­fi­kat eig­net sich für Online-Shops und Fir­men­web­sites.

Erwei­ter­te Vali­die­rung

Erwei­ter­te Vali­die­rungs-Zer­ti­fi­ka­te (Exten­ded Vali­da­ti­on) wer­den mit der grü­nen Adress­zei­le im Brow­ser gekenn­zeich­net. Somit sieht der Web­site-Besu­cher gleich, dass es sich um eine ver­trau­ens­wür­di­ge Ver­bin­dung han­delt.

Beim Vali­die­rungs­check über­prüft die Zer­ti­fi­zie­rungs­stel­le die Domain und die Iden­ti­tät. Außer­dem wird gecheckt, ob der Antrag­stel­ler beim Unter­neh­men arbei­tet und die Befug­nis besitzt, ein EV-SSL-Zer­ti­fi­kat zu erwer­ben.

Bei die­ser Exten­ded Vali­da­ti­on han­delt sich immer um eine 256 Bit Ver­schlüs­se­lung und es wird bei dem Zer­ti­fi­kat eine höchst­mög­li­che Brow­ser­ak­zep­tanz erzielt.

Wenn du auf das Schloss­sym­bol vor der grü­nen Adress­zei­le klickst, wer­den dir Domain­na­me, Unter­neh­mens­na­me, Ort und wei­te­re Zer­ti­fi­kats­in­for­ma­tio­nen ange­zeigt.

Die­se Zer­ti­fi­ka­te sind für Ban­ken, Ver­si­che­run­gen und ande­re gro­ße Unter­neh­men geeig­net.

Anbieter von SSL-Zertifikaten

Es gibt zahl­rei­che gro­ße Zer­ti­fi­zie­rungs­stel­len (CA = Cer­ti­fi­ca­te Aut­ho­ri­ty), dazu gehö­ren vor allem Syman­tec, Geo­Trust, RapidSSL und Thaw­te. Unter https://​www​.sslmar​ket​.de/ fin­dest du deren SSL-Zer­ti­fi­ka­te, deren Prei­se und Eigen­schaf­ten aus­führ­lich beschrie­ben.

Ich habe mich bei eini­gen bekann­ten deut­schen Hosting­an­bie­ter umge­schaut, dazu gehö­ren 1und1, STRATO, Domain­fac­to­ry, Mitt­wald, Host­eur­o­pe, Pixelx und Alfah­os­ting. 1und1 bie­tet SSL-Zer­ti­fi­ka­te von Geo­Trust mit 256 Bit-Ver­schlüs­se­lung an, stra­to Zer­ti­fi­ka­te von Thaw­te und auch die ande­ren fünf oben genann­ten Hos­ter haben SSL-Zer­ti­fi­ka­te in ihrem Leis­tungs­um­fang.

Dann gilt es nur noch das rich­ti­ge Zer­ti­fi­kat für sich zu fin­den. Für Blog­ger dürf­te schon eine Domain Vali­die­rung rei­chen, aber auch mit einer Orga­ni­sa­ti­on Vali­da­ti­on (die teu­rer als die Domain Vali­da­ti­on ist) ist man noch mehr auf der siche­ren Sei­te.

Es wird sich im Lau­fe des Jah­res zei­gen, ob so man­cher bekann­te gro­ße Blog in Deutsch­land auf SSL-Ver­schlüs­se­lung umsteigt.

Ein Zer­ti­fi­kat zu erwer­ben ist bei dem Umstieg nicht das Pro­blem: Schließ­lich kann man sich vor dem Kauf bei sei­nem Pro­vi­der genau erkun­di­gen und sich ent­schei­den­de Infos holen, aber dann steht eine Anpas­sung der Web­site auf das neue Pro­to­koll an.

Fazit

Die Daten­schutz­re­form, die in zwei Jah­ren ansteht, wird die Ver­wen­dung von SSL-Zer­ti­fi­ka­ten mit Sicher­heit deut­lich anstei­gen las­sen. Viel­leicht ist es gar nicht so schlecht, jetzt schon dar­über nach­zu­den­ken und sei­ne Fir­men­web­site oder sei­nen Blog im Lau­fe des Jah­res dar­auf umzu­stel­len.

Angeb­lich soll ein Zer­ti­fi­kat mitt­ler­wei­le auch das Ran­king bei Goog­le posi­tiv beein­flus­sen. Das hat jeden­falls SIXTRIX schon 2014 gemel­det. Das wäre auch nicht ver­kehrt, denn schließ­lich steckt hin­ter dem Ein­rich­ten einer siche­ren Ver­bin­dung ein Auf­wand, den nur Web­site- oder Blog­be­sit­zer ver­an­las­sen, die in hoch­wer­ti­ge und seriö­se Inhal­te inves­tie­ren. Auch dies soll­te ein Grund mehr sein, irgend­wann auf SSL-Ver­schlüs­se­lung zu set­zen.