Anfrage
Anfrage

SSL, TLS und HTTPS

Avatar

Marco Urech

September 2024

Website-Besucher werden abgeschreckt, wenn eine Website vom Browser als unsicher bezeichnet wird. Mit einem SSL/TLS-Zertifikat steht Ihnen eine einfache Lösung für die sichere Datenübertragung zwischen dem Browser des Besuchers und dem Webserver zur Verfügung. Was bringt das KMU-Websites und wie beeinflusst dieses Zertifikat den Umsatz?

Immer öfters trifft man auf Browsermeldungen, die darauf hinweisen, dass eine Website nicht sicher ist. Sei es mit einem Sicherheitshinweis in der Browserleiste oder sogar mit einem Warndreieck. Insbesondere bei der Verwendung von Google Chrome wird der Zugang zu Websites, die von Google als schädlich eingestuft werden, blockiert. Um zu verhindern, dass Besucher abspringen und zur Website der Konkurrenz wechseln, empfehlen wir ein SSL/TLS-Zertifikat zu hinterlegen.

Was ist ein SSL/TLS-Zertifikat?

SSL ist die Abkürzung für Secure-Sockets-Layer. Dieses Verbindungsprotokoll wurde standardisiert weiterentwickelt und vom Nachfolgeprotokoll TLS (Transport-Layer-Security) abgelöst. SSL ist allerdings der weiter verbreitete Begriff.

Mit einem SSL/TLS-Zertifikat wird vom Herausgeber des Zertifikats bestätigt, dass die Verbindung zwischen dem Browser des Besuchers und dem Webserver über ein verschlüsseltes Protokoll geschieht. So werden z.B. Eingaben in Formularen verschlüsselt an den Webserver übertragen. Der Besucher erkennt dies in der Browserleiste, wenn ein Schlosssymbol und HTTPS:// vor der Domain steht. Zudem erhält der Besucher mit einem Klick auf das Schlosssymbol mehr Informationen zum hinterlegten SSL-Zertifikat.

Gibt es unterschiedliche SSL-Zertifikate?

Es gibt drei unterschiedliche Validierungsstufen für SSL/TLS-Zertifikate:

  • Klasse 1: Domain-Validated-Zertifikat (DV-SSL) 
    Ersichtlich an einem einfachen Schlosssymbol. Dafür wird nur überprüft, ob der Antragsteller Besitzer der im Zertifikat hinterlegten Domain ist.
  • Klasse 2: Organisation-Validation-Zertifikat (OV-SSL)
    Erkennbar an einem Schlosssymbol mit Hinweis zum Inhaber des Zertifikats. Hier wird die Identität des Antragstellers überprüft.
  • Klasse 3: Extended-Validation-Zertifikat (EV-SSL)
    Diese Zertifikat wird in den meisten Browsern optisch zusätzlich hervorgehoben. Die Überprüfung umfasst weitere Authentifizierungsdokumente.

In der Regel reicht ein Domain-Validated-Zertifikat für KMU-Websites. Wir empfehlen bei grösseren Firmen oder absatzstarken Webshops ein Extended-Validation-Zertifikat.

Heisst das, alle Websites mit HTTPS sind sicher?

Leider nein. HTTPS bedeutet nur, dass die Daten sicher übertragen werden, das heisst aber nicht, dass die Website auch sicher und legitim ist. Gemäss Sicherheitsforschern nutzen immer mehr Phishing-Webseites auch HTTPS, um bei den Opfern Vertrauen zu wecken. Zudem spielen die richtige TLS-Konfiguration und die gesamte Serverinstallation durch den Webhoster eine wichtige Rolle.