Home Menü

Sicher einkaufen im Web – Wozu braucht man SSL-Zertifikate?

Als regelmäßiger Online-Shopper geht man in der Regel davon aus, dass die Daten, welche beim einkaufen im jeweiligen Shop erhoben und verarbeitet werden auch sicher am Ziel ankommen. Damit Sie Ihre Sicherheit beim nächsten Einkauf nicht zufällig aufs Spiel setzen, zeige ich Ihnen in diesem Artikel, wie Sie potentielle Gefahren bereits frühzeitig erkennen und als Webseitenbetreiber Ihre Kunden schützen.

Sicherheit im Internet ist nach PRISM und TEMPORA zurzeit wohl das Trendthema schlecht hin. Umso wichtiger ist es, das man als Kunde und Anbieter auch versteht, was es mit dieser Sicherheit eigentlich auf sich hat und auf welche Punkte man besonders großen Wert legen sollte.

Im Artikel Webseiten verschlüsselt übertragen habe ich Ihnen bereits ausführlich erklärt, wieso eine Verwendung des HTTPS-Protokolls anstatt des HTTP-Protokolls für Ihre Sicherheit im Web wichtig ist. Anstatt seine Daten nämlich wie offene Postkarten über HTTP vom eigenen Computer zum Server des Anbieters zu senden, werden die Informationen über HTTPS mittels SSL/TLS verschlüsselt. Ihre Daten sind somit von der offenen Postkarte zur chiffrierten Papyrusrolle mutiert. Mit dem großen Vorteil: Keiner kann die Daten im Klartext mitlesen.

In der Theorie ist das eine prima Sache, in der Praxis stellt man allerdings immer noch fest, dass manche Webseiten über das HTTPS-Protokoll nicht aufgerufen werden können. Wenn Sie beispielsweise dieses Blog lesen, dann wurden Ihre Daten unverschlüsselt per HTTP übertragen, da wir aktuell noch keine verschlüsselte Verbindung anbieten. Das ist auch erst einmal nicht dramatisch, da Sie hier weder Login-Informationen noch sensible Daten wie beispielsweise Ihre Bankverbindung oder Kreditkartendaten eingeben. Gehen Sie hingegen in einem der unüberschaubaren Online-Shops einkaufen, dann werden Sie zwangsläufig persönliche und sensible Daten eingeben müssen. Da wäre es fatal, wenn diese Daten unverschlüsselt und somit im Klartext über das WWW zum Online-Shop wandern.

Die Technik hinter HTTPS

Jetzt könnte man sich vielleicht fragen: Warum gibt es noch immer Webseiten, die keine HTTPS-Verbindung anbieten? Die Antwort ist recht einfach: Das Anbieten einer verschlüsselten Verbindung über HTTPS kostet Geld.

Zum einen muss der Webserver der Webseite oder des Online-Shops über eine SSL-Bibliothek verfügen. Da dies mittlerweile von den meisten Providern bereits mitgeliefert wird, ist dies aber in der Regel das kleinere Problem. Das weit größere Problem, vor allem mit Berücksichtigung der finanziellen Seite, ist die Notwendigkeit eines Digitalen Zertifikats für das SSL-Protokoll (Secure Sockets Layer). Eben dieses Protokoll ist für die verschlüsselte Übertragung der Daten verantwortlich und wird in Kombination mit HTTP zum HTTPS-Protokoll kombiniert. 

Kurze Hintergrundinformation: SSL wird im allgemeinen Sprachgebrauch immer noch häufig verwendet, weshalb es auch in diesem Artikel Anwendung findet. Die „neuere Bezeichnung“ (seit 1999) ist allerdings TLS (Transport Layer Security), weshalb man im Kontext von HTTPS auch immer noch „Verschlüsselung über SSL/TLS“ liest. Da die – mittlerweile größeren – Unterschiede zwischen SSL und TSL aber für diesen Artikel keine Relevanz haben, werde ich weiterhin auf die alte Bezeichnung SSL zurückgreifen. 

Diese digitalen Zertifikate für SSL, meist nur SSL-Zertifikate genannt, spielen allerdings nur für den Betreiber der Webseite ein Rolle, welcher diese bei einem Anbieter oder Vertreiber solcher Zertifikate, wie beispielsweise Host Europe, erwerben muss. Hierbei können im Grunde zwei Arten von Zertifikaten unterschieden werden:

  • SSL-Zertifikat mit einfacher Validierung: Hierbei wird der Server anhand der IP-Adresse und der Domain eindeutig identifiziert.
  • SSL-Zertifikat mit erweiterter Validierung (Extended-Validation-Zertifikat, kurz EV-SSL): Zusätzlich zur Identifizierung des Servers und der Domain findet unter anderem eine Überprüfung der Postadresse des Antragstellers statt.

Die Angebote für Zertifikate mit einfacher Validierung beginnen bei Host Europe bei 30 Euro jährlich. Dafür bekommt der Betreiber ein SSL-Zertifikat für eine Domain von einer anerkannten Zertifizierungsstelle (im Beispiel von GlobalSign) und kann seinen Kunden eine gesicherte Verbindung über HTTPS anbieten.

Für die höchste Sicherheit, also ein Zertifikat mit erweiterter Validierung (EV-SSL), werden hingegen bereits 450 Euro pro Jahr fällig. Dafür wird der Webseitenbetreiber mit einer grünen Adresszeile belohnt. Die weiteren Angebote, welche sich in der Anzahl der zu schützenden Domains, Subdomains und Laufzeiten unterscheiden, finden Sie bei Host Europe beispielsweise in der Rubrik SSL-Zertifikate

Wie erkenne ich eine sichere Verbindung über HTTPS?

Im Grunde genommen ist das für den Anwender ganz einfach. Alle modernen Browser haben hier eine ähnliche visuelle Darstellung gewählt, die in der jeweiligen Adresszeile zu finden ist. Rufen Sie beispielsweise die Login-Seite von Amazon auf, so erscheint diese im Safari-Browser wie folgt:

Mit einem Klick auf https in der Adresszeile können Sie sich zudem die genauen Inhalte des SSL-Zertifikats dieser Webseite anzeigen lassen:

Sie erkennen im Browser auch ebenfalls, dass es sich hier nicht um ein EV-SSL Zertifikat handelt. Zum einen ist das https-Symbol in der Adressleiste grau anstatt grün und zum anderen wird der Name des Unternehmens im Zertifikat nicht angezeigt. Anders verhält es sich auf der Login-Seite von Ebay:

Dort sehen Sie sofort, dass das Internet-Auktionshaus beim SSL-Zertifikat die höchste Sicherheitsstufe gewählt hat.

Hinweis: In der Regel wird Ihnen erst beim Login oder bei der Eingabe von persönlichen Daten eine HTTPS-Verbindung angeboten. An dieser Stelle sollten Sie also genau hinsehen. Hingegen wird Ihnen beim normalen Surfen auf den Seiten von Amazon oder Ebay nur das normale HTTP-Protokoll angeboten. Der Grund dafür: Das Laden der Seite mittels HTTPS dauert wesentlich länger als über HTTP. Da längere Ladezeiten laut zahlreichen Studien allerdings zu weniger Umsatz führen, wird Ihnen im Standard nur das HTTP-Protokoll angeboten. Sie können diese Seiten aber auch jederzeit über HTTPS aufrufen. Nähere Infos dazu finden Sie im eingangs verlinkten Artikel zum Thema Webseiten verschlüsselt übertragen.

Fazit

Die technische Seite von HTTPS inklusive SSL-Zertifikate, Zertifizierungsstellen, Handshakes und vieles mehr ist ziemlich kompliziert, weshalb ich in diesem Artikel nur an der Oberfläche gekratzt habe. Trotzdem konnten Sie auf der einen Seite als Anwender erfahren, auf welche Details Sie achten müssen, wenn Sie Ihre Bankverbindung oder Kreditkartendaten in ein Webformular eingeben. Auf der anderen Seite haben Sie als Webseitenbetreiber einen kleinen Überblick bekommen, was für die Bereitstellung einer sicheren HTTPS-Verbindung von Nöten ist. Sie haben gesehen, SSL-Zertifikate sind sinnvoll aber nicht ganz günstig, unterstützen aber den Kunden beim sicheren einkaufen im Web ungemein.

Getestet mit: Safari 6.0(.5)

(Artikelbild: © Webdesigner Depot – iconfinder.com)

Veröffentlicht von Josef Seidl

Josef Seidl hat an der TU München und der Stanford University Wirtschaftsinformatik studiert, bevor er mit INNOSPOT sein eigenes Unternehmen gründete. Er ist begeistert von Technik, schätzt performante Webseiten und ist gerne in den Bergen unterwegs. Zu finden ist er auch bei LinkedIn und privat bei Twitter.