SSL steht für Secure Sockets Layer (zu deutsch: sichere Aufnahme-Ebene) und ist ein Verschlüsselungsprotokoll, welches zum sicheren Datenaustausch im Netz dient. So soll der Zugriff durch Dritte verhindert werden, sodass der Nutzer Internetseiten sicher besuchen kann.
SSL-Verschlüsselungen werden heute über HTTPS vermittelt. Streng genommen ist die Bezeichnung SSL nicht mehr korrekt, da 1999 das Protokoll umbenannt wurde. Aus SSL wurde TLS (Transport Layer Security oder auch Transportschichtsicherheit). Aus diesem Grund werden TLS und SSL häufig als Synonyme behandelt, wobei SSL auch heute noch der weiter verbreitete Ausdruck ist.
Bild von skylarvision auf pixabay.com
Inhaltsverzeichnis
Geschichte und Hintergrund
Der Ursprung von SSL fällt mit der Entwicklung des ersten etablierten Browsers NCSA-Mosaic (1994) zusammen. Neun Monate nach dessen Gründung wurde die erste Version von SSL von Netscape Communications veröffentlicht, um Nutzern einen sicheren Datentransfer zu gewährleisten. Wenige Monate später wurde SSL 2.0 veröffentlicht, 1995 folgte SSL 3.0. Keine dieser Versionen wird heute noch von Browsern unterstützt, sie gelten als unsicher.
1999 erfolgte die Umbenennung in TLS (TLS 1.0), wobei es anfänglich zu Verwirrungen kam, da TLS 1.0 auch als SSL 3.1 bezeichnet wurde. Darauf folgten eine Reihe von verschiedenen Erweiterungen, sodass das Verschlüsselungsprotokoll immer weiter verbessert wurde. TLS stellt den Nachfolger von SSL dar und wird im Gegensatz zu seinem Vorgänger noch in jeder Version unterstützt. 2017 wurde TLS 1.3 veröffentlicht, welches über weiter verstärkte Kryptografie und bessere Performance verfügt.
SSL-Zertifikat
Durch die Verwendung eines SSL-Zertifikates authentifiziert der Webmaster, dass seine Webseite verschlüsselt ist. Im E-Commerce Bereich ist dieses Zertifikat von besonderer Bedeutung, da sensitive Daten wie zum Beispiel Bankdaten geschützt werden. Ein Zertifikat kann weiterhin das Vertrauen des Besuchers stärken, insbesondere da Browser wie Chrome eine sichere Verbindung stärker hervorheben. Somit können sich Conversion Rates, Verweildauer und Traffic steigern lassen.
Das Zertifikat kann von speziellen Anbietern wie VeriSign geliefert werden. Diese überprüfen die Identität des Anbieters und entscheiden, ob sie vertrauenswürdig sind. Es ist in 128-bit und 256-bit erhältlich. Darunter versteht man, dass die Verschlüsselung entweder über 128 oder 256 Zeichen ausgegeben wird. Dabei wird die 256-bit Version als sicherer eingestuft, da die Zeichenkette des Session-Keys länger ist. Die Zertifikate verfügen darüber hinaus über ein Ablaufdatum, sodass die Vertrauenswürdigkeit sich immer auf dem neuesten Stand befindet.
Bild von Tumisu auf pixabay.com
SSL-Zertifikat-Typen
Es gibt unter den SSL-Zertifikaten verschiedene Validierungsklassen, welche unterschiedliche Gesichtspunkte verifizieren und überprüfen. Diese Klassen reichen von einer starken bis zu einer schwachen Sicherheit.
Domain-SSL
Das Domain-SSL-Zertifikat gilt als die schwächste Validierungsklasse. Hierbei wird lediglich geprüft, ob die angegebene E-Mail-Adresse administrative Rechte über die Domain verfügt. Der Aufwand dieses Zertifikats ist für Webseitenbetreiber wie Aussteller vergleichsweise gering, da keine Identifizierung des Betreibers nötig ist. Das Domain-SSL-Zertifikat garantiert die tatsächliche Identität und Glaubwürdigkeit des Unternehmens also nicht.
Organisation-SSL
Neben dem Domain-SSL-Zertifikat kann ein Organisation-SSL-Zertifikat ausgestellt werden, bei dem geprüft wird, ob der Antragsteller tatsächlich mit der Organisation übereinstimmt. Außerdem werden auch die Adressdaten überprüft. Der Zertifizierungsprozess umfasst einen größeren Aufwand, weswegen dieses Zertifikat teurer als die Domain-SSL-Zertifizierung ist. Beim Besucher entsteht im Gegenzug mehr Vertrauen, da sie die Identität des Betreibers und die Adresse sehen können.
Organisation-SSL-Zertifikate können nicht an Privatpersonen vergeben werden. Die Ausstellung ist nur an Unternehmen möglich, welche im Handelsregister eingetragen sind.
Extended-Validation-Zertifikat (EV-SSL)
Die Ausgabe des EV-SSL-Zertifikats erfolgt unter strengeren Vergabekriterien als die des Domain- und Organisation-SSL-Zertifikates. Hier findet eine ausführlichere Überprüfung des Antragstellers statt. Neben der Feststellung der Identität und der Geschäftsadresse wird auch sichergestellt, dass der Antragsteller alleiniger Eigentümer der Domain ist und dadurch exklusive Nutzungsberechtigungen hat. Das EV-SSL Zertifikat wird in Browsern besonders hervorgehoben. Wie das Organisation-SSL-Zertifikat kann auch das EV-SSL-Zertifikat nur an Unternehmen vergeben werden, die im Handelsregister eingetragen sind.
SSL-Zertifikate für SEO
SSL gewinnt immer mehr an Bedeutung. Da sichere (und auch unsichere) Verbindungen von Browsern immer stärker hervorgehoben werden, nehmen SSL-Zertifizierungen großen Einfluss auf das Vertrauen des Nutzers.
Außerdem besitzen Seiten mit SSL Zertifikaten einen kleinen Ranking-Vorteil bei Suchmaschinen. Google und Co. ziehen bei vergleichbaren Seiten diejenige mit einer Verschlüsselung vor. Das SSL-Zertifikat ist also ein positives Signal für Google, sodass das Ranking unter Umständen verbessert werden kann.
Häufige Fragen
Was bedeutet SSL?
SSL ist eine Abkürzung für den englischen Begriff Secure Sockets Layer (dt. sichere Aufname-Ebene). Es stellt ein Verschlüsselungsprotokoll dar und soll die Sicherheit von Nutzern bei dem Besuch einer Website gewährleisten.
Seit wann gibt es SSL?
SSL wurde zum Thema, seit es den ersten, etablierten Browser gibt. Um einen sicheren Datentransfer bewerkstelligen zu können, wurde eine erste SSL-Version neun Monate nach der Gründung von NCSA-Mosaic im Jahr 1994 entwickelt und veröffentlicht.
Welche Bedeutung haben SSL-Zertifikate für SEO?
Aufgrund der hohen Transparenz von Browsern gegenüber (un-)sicheren Seiten hat deren Verschlüsselung einen großen Einfluss auf das Vertrauen der Nutzer. Außerdem verfügen Websites mit SSL-Zertifikaten bei Google einen kleinen Vorteil gegenüber vergleichbaren Seiten ohne Schutz, sodass erstere höher ranken.