SSL Zertifikat, HTTPS & TLS: Wir lichten den Begriffe-Dschungel

Das SSL Zertifikat schützt deine Website im Internet vor unbefugten Zugriffen, Manipulation und Datenraub. Bild: © Herold

Deine Website hat noch kein SSL-Zertifikat? Dann wird es höchste Zeit! Eine Website ohne SSL-Zertifikat ist vergleichbar mit einem Unternehmen ohne Google My Business Eintrag – antiquiert und nicht mehr zeitgemäß. Wir erklären, wozu ein SSL-Zertifikat dient, welche Auswirkungen das Fehlen eines Zertifikats hat und wie du zu einem Zertifikat für deine Website kommst.

SSL – Was ist das?

Genau genommen ist ein SSL-Zertifikat eine kleine Datendatei, die die Verbindung zwischen Website und Browser verschlüsselt, sobald sie am Webserver installiert ist. SSL steht dabei als Abkürzung für den englischsprachigen Begriff „Secure Sockets Layer“.

Wie funktioniert ein SSL-Zertifikat?

SSL-Zertifikate initiieren einen sogenannten SSL-Handshake, womit die Verbindung zwischen Website und Server durch eine lange und zufällige Zahlenkombination (= 2048 Bit-Schlüssel) verschlüsselt wird. Diese Zahlenkombination kann nur vom Server entschlüsselt werden, weshalb Hacker, die diese Nachricht abfangen, lediglich eine unbrauchbare kryptografische Zahlenkombination erhalten. SSL wird direkt über dem Transmission Control Protocol (TCP) ausgeführt und wirkt daher wie eine zusätzliche Sicherheitsschicht. Andere Protokolle können somit ungestört weiterhin ausgeführt werden.

Warum ist SSL heutzutage so wichtig?

Ursprünglich wurden SSL dazu entwickelt, um Kreditkartentransaktionen, Datentransfers und Logins vor Kriminellen im Internet zu sichern. Da sich kriminelle Vorgänge von Jahr zu Jahr weiter ins Internet verlagern, die Cyber Kriminalität also laufend zunimmt, stehen sichere Datentransfers ganz oben auf der Prioritätenliste.

Webmaster müssen damit rechnen, dass Kund:innen eine unsichere Website aus Angst vor Datenmissbrauch sofort wieder verlassen. Außerdem werden Websites ohne SSL-Zertifikat von manchen Browser-Versionen gar nicht mehr geladen. Aber auch für das Google Ranking spielt SSL eine entscheidende Rolle.

Warum ist SSL für das Google Ranking wichtig?

Im August 2014 gab Google bekannt, dass HTTPS künftig als Rankingfaktor verwendet wird. Zwar bezifferte Google die Relevanz dieses Ranking-Signals damals mit weniger als 1%, stellte zugleich aber in Aussicht, diesen Rankingfaktor künftig stärker zu gewichten.

Was ist HTTPS?

HTTPS steht für Hypertext Transfer Protocol Secure und ist im technischen Sinne kein eigenes Sicherheitsprotokoll. HTTPS zeigt die Verwendung von HTTP über ein SSL- oder TLS-Zertifikat an.

Website ohne SSL Zertifikat: Grafik eines SSL-Supermans, der die durch TSL Zertifikat geschützte Verbindung symbolisiert.
Ohne SSL Zertifikat sind die (sensiblen) Inhalte auf Ihrer Website ein gefundenes Fressen für Hacker. Foto: Adobe Stock, (c) beatpavel

SSL ist heute State of the Art

Nachdem Google die Datensicherheit zu einem Rankingfaktor machte, stieg auch die Zahl der Verschlüsselungen innerhalb weniger Monate rasant an. Anfragen über die Netzwerkprotokolle HTTPS, SPDY und QUIC werden von Google als verschlüsselt betrachtet, wobei HTTPS (Verschlüsselung durch das SSL Zertifikat) den größten Anteil ausmacht. Verschlüsselte Websites gehören seither jedenfalls zum State of the Art.

SSL vs. TLS Zertifikat

Wenn heute von SSL die Rede ist, dann ist meistens eigentlich TLS gemeint. TLS (= Transport Layer Security) wurde als Nachfolgeprotokoll von SSL entwickelt und ist mittlerweile Standard. TLS ist sicherer, flexibler und effizienter als das frühere SSL. Da sich im Sprachgebrauch allerdings der Begriff SSL-Zertifikat etabliert hat, verwenden viele Anbieter von Client-Software und Routern sowie Online-Marketing-Unternehmen den geläufigeren Begriff SSL. Gemeint ist in den meisten Fällen allerdings die aktuelle Version von TLS (TLS 1.3.).

Anmerkung: Auch Herold spricht aus Gründen der Suchmaschinenoptimierung zumeist von SSL.

Was ist HSTS?

HSTS steht für „HTTP Strict Transport Security“. Dabei handelt es sich um einen Sicherheitsmechanismus, der entwickelt wurde, um HTTPS-Verbindungen zusätzlich gegen sogenannte Man-in-the-Middle-Angriffe abzusichern. Bei Man-in-the-Middle Angriffen versuchen die Angreifer:innen den Aufbau einer verschlüsselten Verbindung zu verhindern, um unbemerkt alle übermittelten Daten mitzulesen. Mit HSTS wird bereits am Beginn der Verbindung eine HTTPS Verschlüsselung erzwungen, womit die Gefahr solcher Angriffe deutlich minimiert wird.

Wo erhalte ich ein SSL-Zertifikat?

SSL-Zertifikate werden von offiziellen Zertifizierungsstellen (= Certification Authorities) signiert. Die meisten Webhoster und Online Marketing Agenturen arbeiten eng mit solchen Zertifizierungsstellen zusammen und bieten das SSL-Zertifikat als Zusatzleistung in ihren Paketen an. Dabei ist zu beachten, dass es unterschiedliche SSL-Zertifikate mit einem leicht unterschiedlichen Leistungsumfang gibt.

Auch Websites von Herold sind SSL zertifiziert!

Welche SSL-Zertifikate gibt es?

Es gibt eine Vielzahl an SSL-Zertifikaten. Im Wesentlichen gibt es SSL-Zertifikate aber nur in drei unterschiedlichen Ausführungen:

  • Domain Validated-Zertifikat (DV SSL): niedrigste Sicherheitsstufe
  • Organization Validated-Zertifikat (OV SSL): mittlere Sicherheitsstufe
  • Extended Validation-Zertifikat (EV SSL): höchste Sicherheitsstufe

Früher konnte ein:e Website-Besucher:in in seinem Browser sofort erkennen, über welches Zertifikat die Website verfügt. Diese optische Unterscheidung existiert in den meisten Browser-Versionen heutzutage aber nicht mehr.

Hinweis: Aus SEO-Perspektive ist es egal, welches SSL-Zertifikat für die Website verwendet wird.

Wie lange ist ein SSL Zertifikat gültig?

SSL-Zertifikate haben nur eine begrenzte Gültigkeit von 3 bis 24 Monaten. Sobald das Ablaufdatum eines SSL-Zertifikats erreicht wurde, muss der Webmaster das SSL-Zertifikat erneuern lassen. Andernfalls wird die Website im Browser als „nicht sicher“ deklariert. Bei den meisten Webhostern und Online Marketing Agenturen, ist die automatische Verlängerung des Zertifikats allerdings im Paket inkludiert. Auch Herold aktualisiert das SSL-Zertifikat aller Herold Websites automatisch.

Mit einer Herold-Website bist du auf der sicheren Seite!

Woran erkennt man ein SSL-Zertifikat?

In den gängigen Browsern Mozilla Firefox, Google Chrome, Microsoft Edge und Opera, kann man auf den ersten Blick erkennen, ob es sich um eine durch ein SSL-Zertifikat verschlüsselte Website handelt oder nicht. Dabei genügt bereits ein kurzer Blick auf die Adresszeile. Bei Websites mit einem SSL-Zertifikat wird in der Adresszeile ganz links ein (meist graues) Schlosssymbol angezeigt. Außerdem beginnt die Internetadresse mit „https://“.

Nicht zertifizierte Websites verfügen über kein Schlosssymbol und außerdem beginnt die Webadresse nicht mit HTTPS. Früher begannen unsichere Websites mit http:// (ohne s). Aber auch dieses Merkmal ist in den aktuellsten Browser-Versionen (Google Chrome 98.0, Mozilla Firefox 97.0, Edge 98.0) nicht mehr vorhanden.

Website nicht sicher: Unterschiedliche Browser Darstellungsformen von Websites mit und ohne SSL Zertifikat
Je nach Browser werden Websites mit und ohne SSL-Zertifikat unterschiedlich dargestellt. Bild: © HEROLD

Was ist ein SSL-Verbindungsfehler?

Ein sogenannter SSL-Verbindungsfehler tritt auf, wenn der Browser Sicherheitsbedenken bei der aufgerufenen Website hat. Der SSL-Verbindungsfehler tritt zum Schutz der Benutzer:innen auf. Wie sich der Verbindungsfehler äußert, hängt vom gewählten Browser ab. Oftmals färbt sich die Seite rot und auch das „https://“ wird rot markiert und durchgestrichen.

Wenn Sie beispielsweise Google Chrome verwenden, wird dir die Meldung „Ihre Verbindung ist nicht privat“ oder „Diese Webseite ist nicht verfügbar“ angezeigt.

Ein SSL-Verbindungsfehler bedeutet allerdings nicht automatisch, dass die aufgerufene Website verdächtig ist. Oftmals ist die Fehlermeldung nur das Resultat eines veralteten Sicherheitscodes auf der Website. Benutzer:innen sollten den Verbindungsfehler aber dennoch ernst nehmen.

Sind Websites ohne SSL-Zertifikat automatisch gefährlich?

Klares Nein! Nicht jede Website ohne SSL-Zertifikat ist automatisch gefährlich oder betrügerisch. Die Gefahr, dass kriminelle Dritte deine persönlichen Daten stehlen könnten, ist auf nicht zertifizierten Websites aber deutlich höher. Es ist daher abzuraten, auf Websites ohne SSL-Zertifikat persönliche und sensible Daten preiszugeben, vor allem wenn du die Betreibenden der Website nicht gut kennst.

Du bist an einer Website mit SSL-Zertifikat interessiert? 

Dann melde dich gerne unter interesse@herold.at!

Wir freuen uns auf dich!

Blogmarketing
HEROLD Blog Team 2021

Herold Content Team

Infos zur Redaktion