Um modernen Sicherheitsstandards zu entsprechen, läuft eine Webseite heutzutage zumeist als https-Adresse. https unterscheidet sich von http durch ein Verschlüsselungszertifikat, das sogenannte SSL-Zertifikat. Dieses bestätigt, dass die Kommunikation zwischen Nutzer (Client) und Webserver verschlüsselt wird. Der Besucher bekommt so die Garantie, dass kein Dritter den Datenaustausch mitlesen kann. SSL-Zertifikate schaffen Vertrauen.
Mit SSL-Zertifikat verschlüsselte Seiten erkennt man am grünen Schloss vor der Domain.
Bei „Extended-Validated“ SSL-Zertifikaten wird auch noch der Firmenname angezeigt:
Um euch durch den Dschungel der Authentifizierung zu führen, wollen wir in diesem Beitrag klären: Was ist ein SSL-Zertifikat? Warum brauche ich ein SSL-Zertifikat? Wo bekomme ich ein SSL-Zertifikat her? Los geht’s!
Was ist ein SSL-Zertifikat?
SSL steht für „Secure Sockets Layer“. Oft liest man auch von SSL/TLS, wobei TLS für „Transport Layer Security“ steht. TLS ist eine Weiterentwicklung des SSL Standards, der Begriff SSL ist jedoch bekannter. SSL-Zertifikate finden überall Verwendung, wo ein Client mit einem Server kommuniziert. In diesem Beitrag wollen wir uns aber lediglich mit der SSL-zertifizierten Verschlüsselung von Webseiten beschäftigen.
Besucht der Nutzer eine Seite mit SSL-Zertifikat, werden ihm mehrere Punkte garantiert: Authentizität der Webseite und des Servers, vertrauliche Ende-zu-Ende-Übertragung der Daten und die Integrität der übertragenen Daten.
Ein SSL-Zertifikat ist also ein Verschlüsselungsprotokoll, das verschiedene kryptographische Methoden einsetzt. Es wird von einem Konsortium vertrauenswürdiger Institutionen ausgestellt – diese garantieren nicht die Sicherheit per se, dies ist schon in der Technologie begründet … aber als vertrauenswürdig wird es eben nur dann eingestuft (z. B. im Webbrowser), wenn es eben von einer dieser Institutionen ausgestellt wurde, welche garantieren, dass der Betreiber zumindest im Besitz der Domain ist (Domain-Validated).
Was steckt technisch dahinter?
Während die Authentifizierung der Kommunikationspartner asymmetrisch funktioniert, beruht die Datenübertragung auf einem symmetrischen Verschlüsselungsverfahren.
Das asymmetrische Authentifizierungsverfahren verwendet einen öffentlichen und einen geheimen Schlüssel (Public und Private Key): Tippt man eine Domain ein, beispielsweise anexia-it.com, baut der Browser eine Verbindung zum Webserver des Webseitenanbieters auf, das SSL-Zertifikat authentifiziert die Webseite beim Browser mittels Public Key. Der Public Key enthält beispielsweise Firmenname, Anschrift und eine Kontakt-E-Mail-Adresse. Im Anschluss sendet der Browser des Nutzers eine Zufallszahl, die mithilfe des SSL-Zertifikats verschlüsselt wird und so den Nutzer gegenüber dem Webserver authentifiziert (Private Key).
Das symmetrische Verschlüsselungsverfahren zur Datenübertragung verwendet für die Ver- und Entschlüsselung der Daten den selben Key.
Welche SSL-Zertifikate gibt es und wie unterscheiden sie sich?
Es gibt drei Arten von SSL-Zertifikaten:
- Domain Validated Zertifikate (DV-SSL)
- Organisation-Validated-Zertifikat (OV-SSL)
- Extended-Validated-Zertifikat (EV-SSL)
Wir von Anexia bieten unseren Kunden in der Anexia Engine alle drei Typen an. Sie unterscheiden sich durch die anzugebenden Daten, lediglich das EV-SSL-Zertifikat enthält den Firmennamen in der Adresszeile des Browsers. Hier findet ihr eine Übersicht:
Wer stellt SSL-Zertifikate aus?
SSL-Zertifikate werden von vertrauenswürdigen Institutionen ausgestellt. Die in der Anexia Engine angebotenen Zertifikate werden beispielsweise von Anbietern wie Comodo, RapidSSL und einigen mehr ausgestellt, vertreiben darf sie jeder. Es empfiehlt sich aber, das SSL-Zertifikat direkt beim Webseiten-Provider zu bestellen, weil so die Integration einfach und schnell funktioniert. Wir bieten unseren Kunden in der Anexia Engine eine schnelle und unkomplizierte Bestellung von SSL-Zertifikaten an.
Weil die Auswahl und Bestellung eines SSL-Zertifikats schnell unübersichtlich wird, versuchen wir dem Kunden so viel als möglich entgegenzukommen. Zuerst werden zwei Filter gesetzt: Zertifikatstyp und Laufzeit. So bleibt nur noch eine kleine Auswahl der insgesamt über 200 zur Verfügung stehenden Zertifikaten übrig.
Hat sich der Kunde für ein Zertifikat entschieden, wird nun nach dem CSR verlangt. CSR steht für Certificate Signing Request. Es ist ein kodiertes Protokoll, das die notwendigen Daten (E-Mail, Adresse, etc.) sowie die Signatur des Private Key (siehe technische Details) enthält. Hier bieten wir zwei Wege an:
Wer sich nicht mit der Erstellung des CSR beschäftigen will, kann ein einfaches Formular ausfüllen und sich ein CSR in der Anexia Engine generieren lassen. Wer CSR und Private Key lieber lokal erstellen möchte, kann auch ein fertiges CSR einfach hochladen.
Das Zertifikat wird in Folge automatisiert beantragt, der Beantragende bekommt ein Mail mit entsprechenden Instruktionen um den Vorgang zu bestätigen (bzw. bei OV- und EV-SSL ist dieser Prüfvorgang etwas umfangreicher) und kurz darauf kann das Zertifikat bequem in der Anexia Engine heruntergeladen werden und auf dem Webserver integriert werden.
Müssen SSL-Zertifikate aktualisiert werden?
Einmal ausgestellt, muss ein Zertifikat regelmäßig erneuert werden: je nach Vertragsvereinbarung alle ein, zwei oder drei Jahre. Längere Laufzeiten sind – zumindest am freien Markt – nicht üblich. Um diesen Prozess zu vereinfachen, bieten wir in der Anexia Engine eine AUTO RENEW-Funktion an.
Der Kunde muss sich damit nicht mehr selber um die Aktualisierung kümmern. Er wird automatisch von uns per Mail benachrichtigt, wenn sein Zertifikat abläuft, bestätigt kurz ebenfalls per Mail und wir organisieren den Rest im Hintergrund. Zumindest bei „managed“ Services/Servern – falls der Kunde seine Server selbst verwaltet, dann muss dieser letzte Schritt der Integration natürlich vom Kunden selbst vorgenommen werden.
Die Anexia Engine kann aber nicht nur SSL-Zertifikate erstellen, sondern dient als komplettes Cloud Management Panel. Lies hier, wie die Anexia Engine entstanden ist, wie Domain-Management mit der Anexia Engine funktioniert oder was CloudLog, unser Big Data Logmanagement-Tool , alles kann.