SSL und TLS

SSL steht für Secure Sockets Layer (zu deutsch sichere Aufnahmen Ebene) und ist ein Verschlüsselungsprotokoll, welches zum sicheren Datenaustausch im Netz dient. So soll der Zugriff durch Dritte verhindert werden, so dass der Nutzer Internetseiten sicher besuchen kann.

SSL Verschlüsselungen werden heute über HTTPS vermittelt. Streng genommen ist die Bezeichnung SSL allerdings nicht mehr korrekt, da 1999 das Protokoll umbenannt wurde. Aus SSL wurde TLS (Transport Layer Security oder auch Transportschichtsicherheit). Aus diesem Grund werden TLS und SSL häufig als Synonyme behandelt, wobei SSL auch heute noch der weiter verbreitete Ausdruck ist.

Geschichte und Hintergrund

Der Ursprung von SSL fällt mit der Entwicklung des ersten etablierten Browsers NCSA Mosaic (1994) zusammen. Neun Monate nach dessen Gründung wurde die erste Version von SSL von Netscape Communications veröffentlicht, um Nutzern einen sicheren Datentransfer zu gewährleisten. Wenige Monate später wurde SSL 2.0 veröffentlicht, 1995 folgte SSL 3.0. Keine dieser Versionen wird heute noch von Browsern unterstützt, sie gelten als unsicher.

1999 erfolgte die Umbenennung in TLS (TLS 1.0), wobei es anfänglich zu Verwirrungen kam, da TLS 1.0 auch als SSL 3.1 bezeichnet wurde. Darauf folgten eine Reihe von verschiedenen Erweiterungen, so dass das Verschlüsselungsprotokoll immer weiter verbessert wurde. TLS stellt den Nachfolger von SSL dar, und wird im Gegensatz zu seinem Vorgänger noch in jeder Version unterstützt. 2017 wurde TLS 1.3 veröffentlicht, welches über weiter verstärkte Kryptographie und bessere Performance verfügt.

SSL-Zertifikat

Durch die Verwendung eines SSL-Zertifikates authentifiziert der Webmaster, dass seine Webseite verschlüsselt ist. Im E-Commerce Bereich ist dieses Zertifikat von besonderer Bedeutung, da sensitive Daten wie zum Beispiel Bankdaten geschützt werden. Ein Zertifikat kann weiterhin das Vertrauen des Besuchers stärken, insbesondere da Browser wie Chrome eine sichere Verbindung stärker hervorheben. Somit können sich Conversion Rates, Verweildauer und Traffic steigern lassen.

Das Zertifikat kann von speziellen Anbietern wie VeriSign geliefert werden. Diese überprüfen die Identität des Anbieters und entscheiden, ob sie vertrauenswürdig sind. Es ist in 128-bit und 256-bit erhältlich. Darunter versteht man, dass die Verschlüsselung entweder über 128 oder 256 Zeichen ausgegeben wird. Dabei wird die 256-bit Version als sicherer eingestuft, da die Zeichenkette des Session-Keys länger ist. Die Zertifikate verfügen darüber hinaus über ein Ablaufdatum, sodass die Vertrauenswürdigkeit sich immer auf dem neuesten Stand befindet.

SSL-Zertifikat-Typen

Es gibt unter den SSL-Zertifikaten verschiedene Validierungsklassen, welche unterschiedliche Gesichtspunkte verifizieren und überprüfen. Diese Klassen reichen von einer starken bis zu einer schwachen Sicherheit.

Domain-SSL

Das Domain-SSL-Zertifikat gilt als schwächste Validierungsklasse. Hierbei wird lediglich geprüft, ob die angegebene E-Mail-Adresse administrative Rechte über die Domain verfügt. Der Aufwand dieses Zertifikats ist für Webseitenbetreiber so wie für Aussteller vergleichsweise gering, da keine Identifizierung des Betreibers nötig ist. Das Domain-SSL-Zertifikat garantiert die tatsächliche Identität und Glaubwürdigkeit des Unternehmens also nicht.

Organisation-SSL

Neben dem Domain-SSL-Zertifikat kann ein Organisation-SSL-Zertifikat ausgestellt werden, bei dem geprüft wird, ob der Antragsteller tatsächlich mit der Organisation übereinstimmt. Außerdem werden auch die Adressdaten überprüft. Der Zertifizierungsprozess umfasst einen größeren Aufwand, weswegen dieses Zertifikat teurer als die Domain-SSL-Zertifizierung ist. Beim Besucher entsteht im Gegenzug mehr Vertrauen, da sie die Identität des Betreibers so wie die Adresse sehen können.
Organisation-SSL-Zertifikate können nicht an Privatpersonen vergeben werden. Die Ausstellung ist nur an Unternehmen möglich, welche im Handelsregister eingetragen sind.

Extended-Valication-Zertifikat (EV-SSL)

Die Ausgabe des EV-SSL-Zertifikats erfolgt unter strengeren Vergabekriterien als die des Domain-SSL- und die Organisation-SSL-Zertifikates. Hier findet eine ausführlichere Überprüfung des Antragstellers statt. Neben der Feststellung der Identität und der Geschäftsadresse wird auch sichergestellt, dass der Antragsteller alleiniger Eigentümer der Domain ist und dadurch exklusive Nutzungsberechtigungen hat. Das EV-SSL Zertifikat wird in Browsern besonders hervorgehoben. Wie das Organisation-SSL-Zertifikat kann auch EV-SSL-Zertifikat nur an Unternehmen vergeben werden, die am Handelsregister angemeldet sind.

SSL-Zertifikate für SEO

SSL gewinnt immer mehr an Bedeutung. Da sichere (und auch unsichere) Verbindungen von Browsern immer stärker hervorgehoben werden, nehmen SSL Zertifizierungen großen Einfluß auf das Vertrauen des Nutzers.

Außerdem besitzen Seiten mit SSL Zertifikaten einen kleinen Ranking Vorteil bei Suchmaschinen. Google und Co. ziehen bei vergleichbaren Seiten diejenige mit einer Verschlüsselung vor. Das SSL-Zertifikat ist also ein positives Signal für Google, sodass das Ranking unter Umständen verbessert werden kann.

Quellen:

https://www.hosteurope.de/faq/software-services/ssl-zertifikate/ssl-zertifikatstypen/
https://www.sistrix.de/news/warum-google-inhalte-mit-ssl-zertifikat-bevorzugt-oder-auch-nicht/

 

 

Ihr Weg zu mehr Besuchern und Umsatz