Die Sicherheit im Internet ist das A und O – nicht zuletzt seit der Datenschutz-Grundverordnung. Doch wie können Betreiber*innen für diesen Umstand garantieren, sodass Websites, die mit sensiblen Kundendaten hantieren, sicher sind? Die Antwort: SSL-Zertifikate. Sie tragen einen wesentlichen Teil zur größtmöglichen Sicherheit bei.
Was das ist, warum diese Zertifikate so wichtig sind, wie sie funktionieren, was eine Zertifizierungsstelle ist und wie ihr ein SSL-Zertifikat installiert, erfahrt ihr in diesem Beitrag.
deine Website
mit Jimdo
Jedes Business braucht eine eigene Homepage. Mit Jimdo gestaltest du deine in nur wenigen Schritten.
- Ohne Programmieren
- Mobile-optimiert
- Social-Media-Integration
- Abmahnsichere Rechtstexte
Definition: Was ist ein SSL-Zertifikat?
Ein SSL-Zertifikat ist eine Art „digitaler Pass“ für eure Website, der die Sicherheit der zwischen dem Browser eines oder einer Besucher*in und eurem Server übertragenen Daten verbessert. Mit SSL-Zertifikaten erkennen beispielsweise eure Kund*innen, dass es sich bei eurer Domain um eine sichere handelt – und ihre Daten wie Passwörter oder persönliche Informationen geschützt sind.
Solche SSL-Zertifikate sind sowohl technisch notwendig als auch rechtlich im Rahmen der DSGVO (Datenschutz-Grundverordnung) sowie PCI DSS (Payment Card Industry Data Security Standard) verpflichtend.
Oft ist im Zusammenhang mit SSL auch von TLS (Transport Layer Security) die Rede. TLS ist der „Nachfolger“ von SSL – TLS-Zertifikate bietet euch stärkere Verschlüsselungsalgorithmen und verbesserte Sicherheit. Nicht wundern: Allgemein sprechen wir heute meist immer noch von SSL, technisch ist aber fast immer TLS gemeint.
Wieso sind SSL-Zertifikate wichtig für die Sicherheit eurer Website?
Ganz einfach: Weil sie zum einen Pflicht und zum anderen eine Art „Vertrauensbasis“ für eure Kund*innen und Websitebesucher*innen sind. Rund 42 Prozent der Deutschen fühlen sich im Internet eher sicher, gut 30 Prozent sogar sicher oder sehr sicher. Damit das so bleibt, könnt ihr mit einem SSL-Zertifikat oder TLS-Zertifikat eine verschlüsselte Verbindung zwischen euren Besucher*innen und eurem Server herstellen. Im Detail bedeutet das:
-
Verschlüsselung und Datenschutz: SSL beziehungsweise TSL verschlüsselt alle übertragenen Daten. Das bietet Sicherheit und Schutz vor Hacker*innen und Datenlecks.
-
Unterschied zwischen HTTP und HTTPS: Websites mit installiertem SSL-Zertifikat verwenden HTTPS in ihrer URL, was für Hyper Text Transfer Protocol Secure steht. Im Vergleich dazu ist HTTP ungesichert. Tipp: Achtet auf ein kleines Schlosssymbol in der URL-Leiste – es zeigt euch, dass das SSL-Zertifikat aktuell und die Website sicher ist.
-
SEO-Vorteile einer SSL-Verschlüsselung: Google und andere Suchmaschinen strafen euch ab, falls eure Website nicht via SSL (Secure Sockets Layer) verschlüsselt ist. Gebt ihr euch also etwa Mühe, eure Seite via sogenannter Business Listings, beispielsweise via Jimdo, überall zu listen, habt aber kein SSL-Zertifikat, ist der Aufwand umsonst.
Dazu kommt der bereits erwähnte psychologische Aspekt: Kaum ein*e Nutzer*in gibt heute noch Daten auf einer Website preis, bei der vor einer fehlenden SSL-Verschlüsselung gewarnt wird. Baut ihr mit dem Jimdo Homepage Baukasten eine Seite oder einen Onlineshop, erhaltet ihr automatisch ein SSL-Zertifikat mit dazu.
Wie funktioniert ein SSL-Zertifikat?
Damit ihr zumindest grob versteht, wie SSL-Zertifikate oder TLS-Zertifikate funktionieren, gibt es einige Begriffe, die ihr kennen solltet – wir erklären sie euch in aller Kürze.
Der Prozess beginnt mit einem sogenannten SSL-Handshake, bei dem der Browser eurer oder eures Website- oder Shopbesucher*in die Echtheit des Zertifikats prüft und sicherstellt, dass es von einer vertrauenswürdigen Stelle ausgestellt wurde. Sobald die Authentizität bestätigt ist, erfolgt die verschlüsselte Verbindung.
Basis dafür ist ein Schlüsselpaar: ein öffentlicher und ein privater Schlüssel (Public Key und Private Key). Durch diese Kombination werden sämtliche Daten geschützt – ihr benötigt vereinfacht gesagt den privaten Schlüssel, um Informationen des öffentlichen zu entschlüsseln.
Welche Arten von SSL-Zertifikaten zum Schutz der Sicherheit gibt es?
SSL-Zertifikat ist nicht gleich SSL-Zertifikat – es gibt mehrere Typen und Arten von SSL-Zertifikaten, die unterschiedliche Sicherheitsbedürfnisse abdecken:
-
Domain Validated (DV) SSL-Zertifikate: Diese Zertifikate bieten euch eine Basisverschlüsselung für grundlegende Sicherheit – schnell zu erhalten, perfekt für Blogs und kleine Websites.
-
Organization Validated (OV) SSL-Zertifikate: Hier wird es bereits etwas größer. OV-SSL-Zertifikate beinhalten eine Überprüfung eurer Organisation und sind geeignet für Unternehmenswebsites, die eine Identitätsbestätigung benötigen.
-
Extended Validation (EV) SSL-Zertifikate: EV-SSL-Zertifikate bieten höchste Sicherheit durch strenge Überprüfungen – der Name Extended Validation deutet bereits darauf hin. Falls ihr mit eurer E-Commerce-Website oder eurem Jimdo Onlineshop durchstarten möchtet, nutzt am besten eins solches Extended Validation SSL-Zertifikat.
-
Wildcard SSL-Zertifikate: Mit einem Wildcard-Zertifikat sind alle Subdomains unter einer Hauptdomain gesichert – also etwa neben beispiel.de auch test.beispiel.de. Habt ihr also mehrere Unterseiten, sind Wildcard-Zertifikate perfekt.
-
Multi-Domain SSL-Zertifikate: Ähnliches gilt für Multi-Domain-Zertifikate. Hier sichert ihr euch bei einer Zertifizierungsstelle verschiedene Domains mit einem SSL-Zertifikat.
Wie wird ein SSL-Zertifikat installiert?
Um SSL-Zertifikate zu installieren, müsst ihr zunächst eines kaufen – das wird über eine Zertifizierungsstelle abgewickelt.
Ein Hinweis: Es gibt kostenlose (Free SSL) und kostenpflichte (Paid SSL) Zertifikate. Wählt für größere Shops und Websites auf alle Fälle ein SSL-Zertifikat mit größtmöglichem Schutz – etwa eines mit Extended Validation. Diese Sicherheit kostet dann in der Regel einige Euro pro Jahr.
Bei Jimdo erhaltet ihr automatisch ein SSL-Zertifikat. Falls ihr eines separat bei einer Zertifizierungsstelle erwerben möchtet, gibt es von Ionos über GlobalSign bis hin zu DigiCert und Thowe dutzende Optionen. Die Kosten für Basis-Zertifikate liegen im zweistelligen oder niedrigen dreistelligen Eurobereich pro Jahr.
Die Installation läuft in der Regel einfach ab – die Zertifizierungsstelle und eure Website-Provider bieten entsprechende Anleitungen. Nach der Installation des Zertifikats müsst ihr möglicherweise noch eure Seite konfigurieren, um sicherzustellen, dass sie standardmäßig HTTPS verwendet. Womöglich sind Weiterleitungen von HTTP auf HTTPS notwendig.
Regelmäßig erneuern: SSL-Zertifikate laufen ab – meist nach einem oder zwei Jahren. Lasst eure SSL-Zertifikate auf jeden Fall regelmäßig erneuern!
Typische Fehler und Probleme mit SSL-Zertifikaten
TLS oder SSL installiert und alles korrekt konfiguriert – aber trotzdem klappt es nicht? Es gibt vor allem zwei typische Fehler und Herausforderungen im Zusammenhang mit einer SSL-Verschlüsselung:
-
Mixed Content Errors (gemischter Inhalt): Diese Fehler treten auf, wenn eine sichere HTTPS-Seite Ressourcen (zum Beispiel Bilder) über eine unsichere HTTP-Verbindung lädt. Stellt sicher, dass alle Ressourcen über HTTPS bezogen werden – eine ausführliche Anleitung dazu findet ihr hier.
-
Browser-Warnungen: Ist euer SSL-Zertifikat abgelaufen oder von einer nicht vertrauenswürdigen Zertifizierungsstelle, erhalten eure Websitebesucher*innen eine Warnung. Das solltet ihr unbedingt vermeiden! Prüft also regelmäßig, ob die Verschlüsselung über SSL und das TLS-Zertifikat noch funktioniert. Ist das nicht der Fall, seht ihr in den Website-Statistiken schnell, dass die Nutzerzugriffe rapide sinken.
Fazit: Verschlüsselung bietet Sicherheit
Nicht nur Sicht der DSGVO ist eine SSL-Verschlüsselung Pflicht – vor allem ist sie aus Sicht der Besucher*innen eurer Websites und Onlineshops wichtig. Das HTTPS vor eurer Domain gibt ihnen den Hinweis, dass sie sich ohne Bedenken um ihre Daten auf euren Seiten aufhalten können.