SSL Zertifikat, HTTPS & TLS: Wir lichten den Begriffe-Dschungel

Das SSL Zertifikat schützt deine Website im Internet vor unbefugten Zugriffen, Manipulation und Datenraub. Bild: © Herold

Deine Website hat noch kein SSL-Zertifikat? Dann wird es höchste Zeit! Eine Website ohne SSL-Zertifikat ist vergleichbar mit einem Unternehmen ohne Google My Business Eintrag – antiquiert und nicht mehr zeitgemäß. Bestmögliche Sicherheit im Internet zu bieten, ist heutzutage das Um und Auf für Webmaster. Damit du die Sicherheit deiner Websites verbessern kannst, erklären wir dir, wozu ein SSL-Zertifikat dient, welche Auswirkungen das Fehlen eines Zertifikats hat und wie du zu einem Zertifikat für deine Website kommst.

SSL Zertifikat – Was ist das?

Genau genommen ist ein SSL-Zertifikat eine kleine Datendatei, die die Verbindung zwischen Website und Browser verschlüsselt, sobald sie am Webserver installiert ist. SSL steht dabei als Abkürzung für den englischsprachigen Begriff „Secure Sockets Layer“.

Wie funktioniert ein SSL-Zertifikat?

SSL-Zertifikate initiieren einen sogenannten SSL-Handshake, womit die Verbindung zwischen Website und Server durch eine lange und zufällige Zahlenkombination (= 2048 Bit-Schlüssel) verschlüsselt wird. Diese Zahlenkombination kann nur vom Server entschlüsselt werden, weshalb Hacker, die diese Nachricht abfangen, lediglich eine unbrauchbare kryptografische Zahlenkombination erhalten. SSL wird direkt über dem Transmission Control Protocol (TCP) ausgeführt und wirkt daher wie eine zusätzliche Sicherheitsschicht. Andere Protokolle können somit ungestört weiterhin ausgeführt werden.

Warum ist SSL heutzutage so wichtig?

Ursprünglich wurden SSL dazu entwickelt, um Kreditkartentransaktionen, Datentransfers und Logins mit einem kryptografischen Schlüssel vor Kriminellen im Internet zu sichern. Da sich kriminelle Vorgänge von Jahr zu Jahr weiter ins Internet verlagern, die Cyber Kriminalität also laufend zunimmt, stehen sichere Datentransfers ganz oben auf der Prioritätenliste.

Webmaster müssen damit rechnen, dass Kund:innen eine unsichere Website aus Angst vor Datenmissbrauch sofort wieder verlassen. Außerdem werden Websites ohne SSL-Zertifikat von manchen Browser-Versionen gar nicht mehr geladen. Aber auch für das Google Ranking spielt SSL eine entscheidende Rolle.

Warum ist eine SSL Verschlüsselung für das Google Ranking wichtig?

Im August 2014 gab Google bekannt, dass HTTPS künftig als Rankingfaktor verwendet wird. Zwar bezifferte Google die Relevanz dieses Ranking-Signals damals mit weniger als 1%, stellte zugleich aber in Aussicht, diesen Rankingfaktor künftig stärker zu gewichten.

HTTPS Zertifikat: Was ist HTTPS?

HTTPS steht für Hypertext Transfer Protocol Secure und ist im technischen Sinne kein eigenes Sicherheitsprotokoll. HTTPS zeigt die Verwendung von HTTP über ein SSL- oder TLS-Zertifikat an. Umgangssprachlich wird daher gerne auch von einem https-Zertifikat gesprochen.

Website ohne SSL Zertifikat: Grafik eines SSL-Supermans, der die durch TSL Zertifikat geschützte Verbindung symbolisiert.
Ohne SSL Zertifikat sind die (sensiblen) Inhalte auf Ihrer Website ein gefundenes Fressen für Hacker. Foto: Adobe Stock, (c) beatpavel

SSL Zertifikate sind heute State of the Art

Nachdem Google die Datensicherheit zu einem Rankingfaktor machte, stieg auch die Zahl der Verschlüsselungen innerhalb weniger Monate rasant an. Anfragen über die Netzwerkprotokolle HTTPS, SPDY und QUIC werden von Google als verschlüsselt betrachtet, wobei HTTPS (Verschlüsselung durch SSL Zertifikate) den größten Anteil ausmacht. Verschlüsselte Websites gehören seither jedenfalls zum State of the Art.

SSL vs. TLS Zertifikate

Wenn heute von SSL die Rede ist, dann ist meistens eigentlich das TLS Protokoll gemeint. TLS (= Transport Layer Security) wurde als Nachfolgeprotokoll von SSL entwickelt und ist mittlerweile Standard. Das TLS Protokoll ist sicherer, flexibler und effizienter als das frühere SSL. Da sich im Sprachgebrauch allerdings der Begriff SSL-Zertifikat etabliert hat, verwenden viele Anbieter von Client-Software und Routern sowie Online-Marketing-Unternehmen den geläufigeren Begriff SSL. Gemeint ist in den meisten Fällen allerdings die aktuelle Version von TLS (TLS 1.3.).

Anmerkung: Auch Herold spricht aus Gründen der Suchmaschinenoptimierung zumeist von SSL Zertifikaten.

TLS Protokoll am Server installieren

Dank der Funktionsweise von TLS brauchen Server nicht unbedingt eingebettete Stammzertifikate, allerdings musst du die entsprechenden Zwischenzertifikate installieren. So lange das Zertifikat korrekt installiert ist, kann es von jedem Server unterstützt werden. Der Browser stellt während des Handshake-Vorgangs fest, ob die Domain vertrauenswürdig ist oder nicht.

Was ist ein Wildcard-Zertifikat?

Unter einem Wildcard-Zertifikat versteht man ein SSL-Zertifikat, das neben der Domain außerdem eine unbegrenzte Anzahl an Subdomains mit einer SSL-Verschlüsselung versieht. Ein Wildcard-Zertifikat ist deutlich kosteneffizienter als alle Subdomains mit einzelnen SSL-Zertifikaten auszustatten.

Beispielhafter Aufbau einer Domain mit Subdomain
Mit einem Wildcard-Zertifikat werden unbegrenzt viele Subdomains verschlüsselt. Bild: (c) Herold

Was ist HSTS?

HSTS steht für „HTTP Strict Transport Security“. Dabei handelt es sich um einen Sicherheitsmechanismus, der entwickelt wurde, um HTTPS-Verbindungen zusätzlich gegen sogenannte Man-in-the-Middle-Angriffe abzusichern. Bei Man-in-the-Middle Angriffen versuchen die Angreifer:innen den Aufbau einer verschlüsselten Verbindung zu verhindern, um unbemerkt alle übermittelten Daten mitzulesen. Mit HSTS wird bereits am Beginn der Verbindung eine HTTPS Verschlüsselung erzwungen, womit die Gefahr solcher Angriffe deutlich minimiert wird.

Wo erhalte ich ein SSL-Zertifikat?

SSL-Zertifikate werden von einer offiziellen Zertifizierungsstelle (= Certification Authorities) signiert. Die meisten Webhoster und Online Marketing Agenturen arbeiten eng mit solchen Zertifizierungsstellen zusammen und bieten das SSL-Zertifikat als Zusatzleistung in ihren Paketen an. Dabei ist zu beachten, dass es unterschiedliche SSL-Zertifikate mit einem leicht unterschiedlichen Leistungsumfang gibt.

Wie gut ist eigentlich meine aktuelle Website

Welche SSL-Zertifikate gibt es?

Es gibt einige unterschiedliche SSL-Zertifikate. Im Wesentlichen sind es aber nur drei qualitativ unterschiedliche Ausführungen:

  • Domain Validated-Zertifikat (DV SSL): niedrigste Sicherheitsstufe
  • Organization Validated-Zertifikat (OV SSL): mittlere Sicherheitsstufe
  • Extended Validation-Zertifikat (EV SSL): höchste Sicherheitsstufe

Früher konnte ein Website-Besucher in seinem Browser sofort erkennen, über welches Zertifikat die Website verfügt. Diese optische Unterscheidung existiert in den meisten Browser-Versionen heutzutage aber nicht mehr.

Hinweis: Aus SEO-Perspektive ist es egal, welches SSL-Zertifikat für die Website verwendet wird.

Wie lange ist ein SSL Zertifikat gültig?

Die Gültigkeit von SSL-Zertifikaten ist auf 3 bis 24 Monate begrenzt. Sobald das Ablaufdatum eines SSL-Zertifikats erreicht wurde, muss der Webmaster das SSL-Zertifikat erneuern lassen. Andernfalls wird die Website im Browser als „nicht sicher“ deklariert. Bei den meisten Webhostern und Online Marketing Agenturen, ist die automatische Verlängerung des Zertifikats allerdings im Paket inkludiert. Auch Herold aktualisiert das SSL-Zertifikat aller Herold Websites automatisch.

Mit einer Herold-Website bist du auf der sicheren Seite!

Woran erkennt man ein SSL-Zertifikat?

In den gängigen Browsern Mozilla Firefox, Google Chrome, Microsoft Edge und Opera, kann man auf den ersten Blick erkennen, ob es sich um eine durch ein SSL-Zertifikat verschlüsselte Website handelt oder nicht. Dabei genügt bereits ein kurzer Blick auf die Adresszeile. Bei Websites mit einem SSL-Zertifikat wird in der Adresszeile ganz links ein (meist graues) Schlosssymbol angezeigt. Außerdem beginnt die Internetadresse mit „https://“.

Nicht zertifizierte Websites verfügen über kein Schlosssymbol und außerdem beginnt die Webadresse nicht mit HTTPS. Früher begannen unsichere Websites mit http:// (ohne s). Aber auch dieses Merkmal ist in den aktuellsten Browser-Versionen (Google Chrome 98.0, Mozilla Firefox 97.0, Edge 98.0) nicht mehr vorhanden.

Website nicht sicher: Unterschiedliche Browser Darstellungsformen von Websites mit und ohne SSL Zertifikat
Je nach Browser werden Websites mit und ohne SSL-Zertifikat unterschiedlich dargestellt. Bild: © Herold

Was ist ein SSL-Verbindungsfehler?

Ein sogenannter SSL-Verbindungsfehler tritt auf, wenn der Browser Sicherheitsbedenken bei der aufgerufenen Website hat. Der SSL-Verbindungsfehler tritt zum Schutz der Benutzer:innen auf. Wie sich der Verbindungsfehler äußert, hängt vom gewählten Browser ab. Oftmals färbt sich die Seite rot und auch das „https://“ wird rot markiert und durchgestrichen.

Wenn du beispielsweise Google Chrome verwendest, wird dir die Meldung „Ihre Verbindung ist nicht privat“ oder „Diese Webseite ist nicht verfügbar“ angezeigt.

Ein SSL-Verbindungsfehler bedeutet allerdings nicht automatisch, dass die aufgerufene Website verdächtig ist. Oftmals ist die Fehlermeldung nur das Resultat eines veralteten Sicherheitscodes auf der Website. Benutzer sollten den Verbindungsfehler aber dennoch ernst nehmen.

Sind Websites ohne SSL-Zertifikat automatisch gefährlich?

Klares Nein! Nicht jede Website ohne SSL-Zertifikat ist automatisch gefährlich oder betrügerisch. Die Gefahr, dass kriminelle Dritte deine persönlichen Daten stehlen könnten, ist auf nicht zertifizierten Websites aber deutlich höher. Es ist daher abzuraten, auf Websites ohne SSL-Zertifikat persönliche und sensible Daten preiszugeben, vor allem wenn du die Betreibenden der Website nicht gut kennst.

HEROLD Blog Team 2021

Herold Content Team

Infos zur Redaktion

Interesse geweckt?

Du willst mit einer Website deinen Unternehmenserfolg stärken? Dann meld dich bei uns. Wir beraten dich gern zu unseren Produkten!

Hidden
Hidden
Hidden
Hidden
Hidden
Hidden
Einwilligung*
This field is for validation purposes and should be left unchanged.

Vielen Dank für deine Bewertung des Artikels!