In den letzten Wochen habe ich in verschiedenen Internetartikel vermehrt gelesen, dass für geschäftliche Webauftritte SSL-Zertifikate an Wichtigkeit gewinnen werden. Vor allem seit die neuen Datenschutzregeln der EU-Kommission beschlossen wurden, die in einem Jahr — also 2018 — nun endgültig in Kraft treten werden.
Was steckt genau hinter dieser Datenschutzreform?
Bisher galten in den europäischen Ländern unterschiedliche Datenschutzbestimmungen, in manchen waren sie lascher, in anderen (wie Deutschland) deutlich restriktiver. Mit diesen Unterschieden soll im nächsten Jahr endgültig Schluss sein, wenn die neue EU-Verordnung Anfang 2018 in Kraft tritt. Das neue EU-Gesetz wird von Experten als bedeutender Schritt für mehr Verbraucherrechte und mehr Wettbewerb bewertet.
Demnach müssen dann die großen Internetkonzerne wie Facebook und Google beispielsweise sich die Zustimmung der Datennutzung von den Usern ausdrücklich einholen. Internetnutzer bekommen das Recht, Informationen und Daten über sich viel leichter löschen zu lassen (“Recht auf Vergessenwerden”) sowie Daten von dem einen Anbieter zu einem anderen mitzunehmen (“Portabilität”). Eine weitere Auflage für Unternehmen ist, dass sie ihre Produkte datenschutzfreundlich voreinstellen.
Diese Regelungen sollen nicht nur für europäische Unternehmen, sondern u. a. auch für amerikanische gelten. Ein Regelverstoß kann teuer werden, er soll mit einer Zahlung von bis zu vier Prozent des Unternehmensumsatzes geahndet werden.
Vor allem der Satz, dass Unternehmen ihre Produkte datenschutzfreundlich voreinstellen sollen, führt mit Sicherheit dazu, dass der Einsatz von SSL-Zertifikaten in der nächsten Zukunft stark ansteigen wird.
Dann dürfte bei vielen die nächste Frage aufkommen: Was genau sind SSL-Zertifikate bzw. was ist SSL-Verschlüsselung?
SSL-Verschlüsselung: Definition und bisherige Situation
Ich will diesen Punkt nicht allzu ausführlich erläutern; wer nach genauesten Ausführungen suchen will, wird diese im Internet zur Genüge finden. Jedenfalls wird SSL-Verschlüsselung schon von vielen Online-Portalen eingesetzt, vor allem dort, wo eine Datenübertragung mit sensiblen Daten stattfindet, die sicher sein soll und nicht von anderen im Netz sozusagen abgehört oder abgefangen werden kann.
SSL bedeutet übrigens “Secure Sockets Layer”, was so viel heißt wie “Sichere Verbindungsebene”.
Hauptsächlich Online-Shops, Banken, Versicherungen und auch solche Websites, auf denen auf irgendeine Weise Online-Bestellungen aufgegeben werden, bieten eine SSL-Verschlüsselung an. Dazu gehören im Wesentlichen auch die Hostinganbieter oder Provider, die den Kunden das Online-Bestellen von Hostingpaketen ermöglichen.
Aber die meisten Websites verfügen über keine SSL-Verschlüsselung. Für eine normale Firmenwebsite, die gerade mal über ein klassisches Kontaktformular für die Online-Kontaktaufnahme verfügt, war das auch nicht unbedingt notwendig oder es wurde nicht als notwendig angesehen. Obwohl auch darüber Daten übermittelt werden. Das gleiche gilt für Blogs, die in den meisten Fällen unter den Blogposts ein Kommentarformular zur Verfügung stellen.
Gemäß § 9 Bundesdatenschutzgesetz (BDSG) sollen öffentliche und nicht-öffentliche Stellen, die personenbezogene Daten erheben, verarbeiten oder nutzen, entsprechende Maßnahmen ergreifen, um diese übermittelten Daten zu schützen. Danach müssten auch normale Kontaktformulare mit SSL-Verschlüsselung ausgestattet werden. Andererseits brauchen Website-Besitzer nur Maßnahmen zu ergreifen, deren Aufwand in einem angemessenem Verhältnis zum Schutzzweck steht.
Ob da die SSL-Verschlüsselung für ein Kontaktformular oder ein Blogkommentarfeld schon zu aufwändig ist, bleibt im Raum stehen. Jedenfalls sind mir bis jetzt keine Rechtsfälle bekannt, wo Website-Besitzer deswegen abgemahnt wurden. Was auch ziemlich unübersichtlich wäre, müssten doch wohl mehr als 75 Prozent aller Blogger und Website-Betreiber juristisch belangt werden.
Doch das Ende der unverschlüsselten Blogs und Firmenwebsites dürfte sich am Horizont abzeichnen, denn mit den anstehenden neuen Regelungen werden die Vorgaben zum Datenschutz mit Sicherheit strenger geahndet. Und mit einer SSL-Verschlüsselung kann man als Blogger oder Website-Betreiber der ganzen Unsicherheit aus dem Weg gehen.
SSL-Zertifikate: Unterschiede und Arten
Um SSL-Verschlüsselung anzubieten, benötigt man ein SSL-Zertifikat. Und die bekommt man meistens auch bei seinem Provider zu unterschiedlichen Preisen, denn es gibt für jeden Bedarf ein spezielles SSL-Zertifikat.
Hier eine Übersicht, worin sich die SSL-Zertifikate unterscheiden:
- Stärke der Verschlüsselung (Standard: 128 Bit /256 Bit)
- domain- oder identitätsvalidiert
- Zertifikatsart
- Single
- Wildcard (Hauptdomain und Subdomains)
- Multidomain
Ob eine Website über ein SSL-Zertifikat verfügt, erkennst du ganz einfach an der Internetadresse. Eine verschlüsselte Seiten-URL beginnt statt mit http:// mit https://.
An manchen Websites ist vorne noch eine grüne Leiste mit Schlosssymbol und Unternehmensname (Betreiber der Website) zu sehen.
Bei dieser Darstellung handelt es sich um eine Erweiterte Validierung (Extended Validation), das höchste SSL-Zertifikat, das es momentan gibt. Doch dazu später mehr.
Rechts siehst du so eine Erweiterte Validierung (von dem Hostinganbieter Domainfactory). Klickst du auf das Schlosssymbol, erhältst du weitere Informationen zu der Verbindung.
Generell halte ich eine Einteilung in drei unterschiedliche Varianten für sinnvoll. Unterschieden wird zwischen Domain Validation, Organisation Validation und Extended Validation.
Domain Validierung
Am höchsten verbreitet ist die Domain Validierung (Domain Validation). Bei diesem Prozess wird die Domain per E‑Mail verifiziert. Dabei prüft die Zertifizierungsstelle nur, ob der Auftraggeber der Domaininhaber ist. Nach der Bestätigung ist das Zertifikat innerhalb von ein paar Minuten ausgestellt. Auch hier erhältst du nähere Informationen zur Verbindung, wenn du auf das Schlosssymbol vor dem https klickst.
Dieses Zertifikat eignet sich vor allem für kleine Websites, Blogs, für Mailserver oder ein Intranet.
Organisation Validierung
Bei Organisation Validierung (Organisation Validation) wird neben dem Domaincheck noch eine Identitätsprüfung vorgenommen. Das Unternehmen muss Dokumente liefern, die es als Domaininhaber ausweisen. Diese Dokumente können ein Handelsregisterauszug, Bankdaten, die dann abgeglichen werden, oder ein telefonischer Kontakt sein.
Die bereitgestellten Informationen werden abschließend mit dem WHOIS-Eintrag verglichen. Bei diesem Zertifikatstyp wird außer dem Domainnamen auch der Name des Unternehmens und der Ort angezeigt, wenn du auf das Schlosssymbol klickst.
Das Organisation Validierungs-Zertifikat eignet sich für Online-Shops und Firmenwebsites.
Erweiterte Validierung
Erweiterte Validierungs-Zertifikate (Extended Validation) werden mit der grünen Adresszeile im Browser gekennzeichnet. Somit sieht der Website-Besucher gleich, dass es sich um eine vertrauenswürdige Verbindung handelt.
Beim Validierungscheck überprüft die Zertifizierungsstelle die Domain und die Identität. Außerdem wird gecheckt, ob der Antragsteller beim Unternehmen arbeitet und die Befugnis besitzt, ein EV-SSL-Zertifikat zu erwerben.
Bei dieser Extended Validation handelt sich immer um eine 256 Bit Verschlüsselung und es wird bei dem Zertifikat eine höchstmögliche Browserakzeptanz erzielt.
Wenn du auf das Schlosssymbol vor der grünen Adresszeile klickst, werden dir Domainname, Unternehmensname, Ort und weitere Zertifikatsinformationen angezeigt.
Diese Zertifikate sind für Banken, Versicherungen und andere große Unternehmen geeignet.
Anbieter von SSL-Zertifikaten
Es gibt zahlreiche große Zertifizierungsstellen (CA = Certificate Authority), dazu gehören vor allem Symantec, GeoTrust, RapidSSL und Thawte. Unter https://www.sslmarket.de/ findest du deren SSL-Zertifikate, deren Preise und Eigenschaften ausführlich beschrieben.
Ich habe mich bei einigen bekannten deutschen Hostinganbieter umgeschaut, dazu gehören 1und1, STRATO, Domainfactory, Mittwald, Hosteurope, Pixelx und Alfahosting. 1und1 bietet SSL-Zertifikate von GeoTrust mit 256 Bit-Verschlüsselung an, strato Zertifikate von Thawte und auch die anderen fünf oben genannten Hoster haben SSL-Zertifikate in ihrem Leistungsumfang.
Dann gilt es nur noch das richtige Zertifikat für sich zu finden. Für Blogger dürfte schon eine Domain Validierung reichen, aber auch mit einer Organisation Validation (die teurer als die Domain Validation ist) ist man noch mehr auf der sicheren Seite.
Es wird sich im Laufe des Jahres zeigen, ob so mancher bekannte große Blog in Deutschland auf SSL-Verschlüsselung umsteigt.
Ein Zertifikat zu erwerben ist bei dem Umstieg nicht das Problem: Schließlich kann man sich vor dem Kauf bei seinem Provider genau erkundigen und sich entscheidende Infos holen, aber dann steht eine Anpassung der Website auf das neue Protokoll an.
Fazit
Die Datenschutzreform, die in zwei Jahren ansteht, wird die Verwendung von SSL-Zertifikaten mit Sicherheit deutlich ansteigen lassen. Vielleicht ist es gar nicht so schlecht, jetzt schon darüber nachzudenken und seine Firmenwebsite oder seinen Blog im Laufe des Jahres darauf umzustellen.
Angeblich soll ein Zertifikat mittlerweile auch das Ranking bei Google positiv beeinflussen. Das hat jedenfalls SIXTRIX schon 2014 gemeldet. Das wäre auch nicht verkehrt, denn schließlich steckt hinter dem Einrichten einer sicheren Verbindung ein Aufwand, den nur Website- oder Blogbesitzer veranlassen, die in hochwertige und seriöse Inhalte investieren. Auch dies sollte ein Grund mehr sein, irgendwann auf SSL-Verschlüsselung zu setzen.
