Sicherheitszertifikate - Sinnvoll oder unnütz?

Das Thema Sicherheit und Zertifikate ist weder sexy noch besonders übersichtlich. Dennoch möchten wir uns diesem Thema annehmen, da es gerade jetzt, in Zeiten der Pandemie, wo der Onlinehandel boomt und auch rundum Weihnachten besonders wichtig ist.

 

Leider nutzen viele skrupellose Geschäftemacher genau diese Situationen aus, um windige Geschäfte aufzubauen und Kunden zu betrügen. Die Angebote klingen oft zu gut um wahr zu sein und doch sieht die Website oder der Onlineshop einfach viel zu seriös aus, als dass es sich hier um einen Fake handeln könnte!

 

So oder so ähnlich haben sicher schon viele von uns einmal gedacht und sind auf derartige Betrügereien hereingefallen.

 

Um dieses Risiko zu minimieren wollen wir euch heute über derzeitige Sicherheitszertifikate aufklären. Welche Zertifikate gibt es? Wer stellt diese Sicherheitszertifikate aus? Und wie vertrauenswürdig sind diese Sicherheitszertifikate? Es geht uns aber nicht nur um den Schutz der Kunden, sondern auch für seriöse Website-Betreiber wird es immer schwieriger sich von den unseriösen Betreibern abzugrenzen. Auch für sie ist es wichtig auf das „richtige“ Zertifikat zu setzen, um das Vertrauen ihrer Kunden zurückzugewinnen.

Welche Sicherheitszertifikate gibt es gerade auf dem Markt?

Zu den bekanntesten Sicherheitszertifikaten zählt TLS ehemals SSL (Transport Layer Security). Von diesem Zertifikat gibt es mehrere Varianten, die 2 häufigsten sind:

1. Organisationsvalidierende Zertifikate (kostenpflichtig, individuell)

Bei dieser Variante durchlaufen die Websitebetreiber verschiedene Validierungen. Möglich wären die Überprüfung von Telefonnummern, Emails, Visitenkarten und noch einiges mehr. Das Zertifikat wird hierbei speziell auf den Domaininhaber ausgestellt. Das hat den Vorteil, das der Name des Unternehmens und auch der Firmensitz im Zertifikat enthalten sind. Vor allem Bankportale und große Webshops nutzen diese Zertifikatsform, da sie als besonders sicher gilt.

2. Domainvalidierende Zertifikate (kostenfrei)

In diesem Fall wird von einem Anbieter ein digitaler „Schlüssel“ erstellt. Dieser wird auf dem Webserver oder direkt bei der Domain hinterlegt. Stimmen die verschlüsselte Antwort des Servers zum erstellten, individuellen Schlüssel des Anbieters, gilt es als bestätigt, dass der Antragsteller des Zertifikats die Domain bzw. Webserver ein und dieselbe „Person“ sind. Die Erstellung, Validierung und Verlängerung erfolgen automatisiert, um so den Vorgang erheblich zu vereinfachen. Ausgestellt werden die Zertifikate von einer Nonprofit-Organisation aus San Francisco, namens ISRG (Internet Security Research Group).

Wie funktionieren die Sicherheitszertifikate?

Sobald ein Nutzer in seinem Browser eine Internetseite eintippt, fordert der Browser für den Nutzer unsichtbar im Hintergrund die Website auf sich zu identifizieren. Die Website bzw. der Server, auf dem die Internetseite hinterlegt ist, übermittelt nun die Daten des Zertifikats und die Informationen zur Herstellung einer sicheren Datenverbindung. Der Browser überprüft nun ebenfalls im Hintergrund die Echtheit dieses Zertifikats.

All das geschieht in nur wenigen Bruchteilen einer Sekunde. Wird die Echtheit bestätigt, dann wählt der Browser die bestmöglichste Verbindungsart aus und in der Adressleiste des Browsers steht am Anfang ein „https“ und/oder ein geschlossenes Schloss. Dies ist für den Kunden das Zeichen, dass es sich um eine geschützte Verbindung handelt.

Die „http“ - Verbindungen hingegen gelten als ungesichert.

Wie lange ist ein TLS-Zertifikat gültig

Um die Sicherheit noch weiter zu erhöhen, wurden die Laufzeiten der Zertifikate deutlich verringert. Ursprünglich galten die organisationsvalidierenden Zertifikate bis zu 5 Jahre. Aktuell ist es nur noch 1 Jahr und danach erfolgt eine erneute Validierung. Bei den domainvalidierenden Zertifikaten sind es sogar nur 3 Monate.

Warum sind die Sicherheitszertifikate so wichtig?

Wie bereits am Anfang des Artikels erwähnt, geht es um das Vertrauen der Kunden und auch den guten Ruf eines Unternehmens. Noch wichtiger ist aber, dass seit dem 25.05.2018 die DSGVO (Europäische Datenschutzverordnung) in Kraft getreten ist.

Laut dieser Verordnung muss jede Website auf der persönliche Daten erhoben und/oder verarbeitet werden, verschlüsselt sein. Ein einfaches Kontaktformular fällt nicht in diese Kategorie und ist somit unnütz. Damit möchte man sicherstellen, das die empfindlichen persönlichen Daten der Nutzer besser geschützt werden.

Wer stellt diese Sicherheitszertifikate aus?

Es gibt viele Anbieter, die diese Zertifikate ausstellen. Auch hier tummeln sich durchaus „schwarze Schafe“ auf dem Markt.

Ein großer Anbieter für kostenfreie Zertifikate ist Let´s Encrypt aus den USA. Ebenfalls von dort kommen die Unternehmen Identrust und DigiCert.

Ein individuelles, kostenpflichtiges Zertifikat erhält man z.B. von der psw-group.

Oft lohnt sich auch die Nachfrage beim Provider, weil sie selbst mit den entsprechenden Anbietern kooperieren oder aber hilfreiche Tips geben können.

Fazit

Eine 100% Sicherheitsgarantie kann und wird es nicht geben. Dennoch lohnt es sich genau hinzuschauen, auf welchen Seiten ich surfe und wo ich meine persönlichen Daten hinterlege. Die Anbieter von Zertifikaten bemühen sich immer darum ihre Verschlüsselungen noch sicherer zu machen, um Betrügern keine Chance zu geben. Für Unternehmen ist es auf jeden Fall sinnvoll ein Sicherheitszertifikat zu erwerben, denn dadurch helfen sie mit, das Internet und die Kundenerfahrungen noch sicherer und positiver zu gestalten.

Zurück