Die gemeinnützige Let’s Encrypt-Initiative aus San Francisco bietet seit Mai diesen Jahres kostenlose SSL-Zertifikate an. Ziel ist es nach eigenen Angaben das Internet zu demokratisieren und sicherer zu machen. Damit sorgen die Amerikaner in Deutschland für mehr Rechtssicherheit. Beispielsweise bei der Frage, ob für ein Kontaktformular SSL Pflicht ist.
HTTPS soll der neue Standard im Netz werden. Zumindest, wenn es nach der US-Amerikanischen Internet Security Research Group geht. Diese möchte mit dem Let’s Encrypt-Projekt jedem Seitenbetreiber weltweit ein kostenloses SSL-Zertifikat zur Verfügung stellen. Unabhängig von dessen Herkunft oder Zahlungsfähigkeit.
Von dieser hehren Idee können vor allem deutsche Webseitenbetreiber profitieren. Denn dank Sponsoren wie Facebook, Mozilla oder Linux, genießen die Let’s Encrypt-Zertifikate eine hohe Vertrauenswürdigkeit. Und das kostenlose SSL unterscheidet sich technisch gesehen auch nicht von der kostenpflichtigen Variante.
Somit kommen auch Betreiber kleinerer Blogs oder Unternehmensseiten in den Genuss der Vorteile von HTTPS: Mehr Geschwindigkeit dank HTTP/2, mehr Datensicherheit und vor allem mehr Rechtssicherheit. Beziehungsweise weniger Rechtsunsicherheit, denn bisher stellte sich vor allem Bloggern und Betreibern kleinerer Seiten die Frage, ob beispielsweise für ein Kontaktformular SSL Pflicht ist und hier unter Umständen eine Abmahnung droht.
Ist eine SSL-Verschlüsselung Pflicht?
Verpflichtend ist eine Sicherung sensibler Daten in Deutschland schon seit Jahren. Zumindest theoretisch. Denn laut §13 des Telemediengesetzes gilt:
“Diensteanbieter […], soweit dies technisch möglich und wirtschaftliche zumutbar ist, im Rahmen ihrer jeweiligen Verantwortlichkeit für geschäftsmäßige angebotene Telemedien durch technische und organisatorische Vorkehrungen sicherzustellen, dass […] die genutzten techischen Einrichtungen […] gegen Verletzung des Schutzes personenbezogener Daten […] gesichert sind”
– Telemediengesetz §13
Vor allem die unklare Formulierung hat sehr viel Unsicherheit bei deutschen Seitenbetreiber hervorgerufen: Ist der eigene Blog geschäftsmäßig? Ab wann kann er als solcher eingestuft werden? Was ist technisch möglich? Was ist wirtschaftlich zumutbar? Über diese und weitere Fragen wurde teils schon sehr ausführlich diskutiert. Ohne eindeutiges Ergebnis.
Tenor scheint jedoch zu sein: Eine SSL-Verschlüsselung ist keine Pflicht. Aber eben eine Sicherung der Daten. Dies muss nicht über ein SSL-Zertifikat geschehen. Eine Verschlüsselung der Kommunikation zwischen Browser und Webserver ist aber eine sehr gute Möglichkeit, die sensiblen Daten der Seitenbesucher zu schützen.
Zu den unklaren juristischen Formulierungen, gesellt sich das Fehlen von Präzedenzfällen.
Die Abmahngefahr dürfte recht gering sein
Das hat auch mit Problemen auf Behördenseite zu tun. Denn die Aufsichtsbehörden haben meist schlicht nicht die Ressourcen, um alle Websites ihres Zuständigkeitsbereichs systematisch nach Verstößen zu scannen. Die Gefahr tatsächlich abgemahnt zu werden, dürfte also recht gering sein. Doch: Sicher sein kannst du dir diesbezüglich nicht.
Gegen all diese Unwägbarkeiten und gesetzlichen Grauzonen kannst du dich als Webseitenbetreiber nun aber effektiv und vor allem einfach absichern. Denn die kostenlosen SSL-Zertifikate von Let’s Encrypt haben die deutsche Hostinglandschaft unter Druck gesetzt. Und so haben Hostingunternehmen gleich mehrere Möglichkeiten geschaffen an kostenlose SSL-Zertifikate zu kommen.
Theoretisch kann heute jeder ein kostenloses SSL-Zertifikat erwerben
Zumindest die Kunden der großen und spezialisierten deutschen Anbieter müssen heute schon nicht mehr für einfache SSL-Zertifikate zahlen. Denn die Anbieter haben mit mindestens drei verschiedenen Ansätzen auf das kostenlose SSL aus Amerika reagiert:
- Vollintegration von Let’s Encrypt: Einige wenige Hoster haben die Zertifikate aus San Francisco komplett in ihr Angebot integriert. Bei Raidboxes kannst du SSL beispielsweise mit nur einem Klick einrichten.
- Teilintegration von Let’s Encrypt: Andere Hostingunternehmen haben Let’s Encrypt berücksichtigt und erlauben die Installation. Teils ist die Let’s Encrypt-Option tarifabhängig. Allerdings wurde das kostenlose SSL hier nicht in die Bedienoberfläche des Hostings integriert. Der User muss selbst tätig werden und mithilfe der Certbot genannten Software sein kostenloses SSL-Zertifikat einrichten.
- Umgehung von Let’s Encrypt: Vor allem die großen Hoster wie 1und1 oder Mittwald haben sich vollständig gegen die Integration von Let’s Encrypt-Zertifikaten entschieden. Sie bieten stattdessen kostenlose SSL-Zertifikate ihrer Kooperationspartner an.
Fazit: Weniger Sorgen um Rechtsunsicherheit für deutsche Seitenbetreiber
Egal ob du nun einen Blog, eine Unternehmensseite oder einen Shop betreibst: dank der aktuellen Bewegungen im Hostingmarkt, stehen vielen Nutzern heute schon kostenlose Zertifikate zur Verfügung. Mit diesen kann man sehr leicht Rechtsunsicherheiten rund um das Telemediengesetz und die Verpflichtungen für Webseitenbetreiber beseitigen. Denn egal, ob das Zertifikat kostenlos ist oder kostenpflichtig: Sensible Daten werden zuverlässig verschlüsselt und sind somit gegen Fremdzugriff geschützt.
Mir stellt sich hier die Frage: Wie geht es nach dem Formular weiter? Nur weil die Eingabe sicher zum Server übertragen wurde, wird ja meist der Inhalt von so einem Formular per Mail weiter verarbeitet. Auf dem Weg sind zwar die Transportwege größtenteils verschlüsselt, aber der Inhalt auf dem Server ja dennoch nicht. Muss man hier also auch dafür sorgen, dass diese Mail dann Inhaltlich verschlüsselt wird bevor sie vom Server auf die Reise geschickt wird?
Liebe Grüße, Alex
Hi Alex,
betrachten wir mal en ersten Punkt, die Datensicherheit auf dem Server, wenn die Daten dann einmal übertragen sind: Sensible Daten können in der Datenbank gehasht, also verschlüsselt werden, wenn der Seitenbetreiber das entsprechend einstellt. Natürlich müssen die persönlichen Daten auf dem Server dann wiederum auch vor Zugriff geschützt werden, wobei hier dann wieder die Frage aufkommt in welcher Form das passiert. Der Gesetzgeber ist hier unspezifisch und spricht wieder nur allgemein von einer zumutbaren Zugriffssicherung personenbezogener Daten.
Zum Mailtransfer: Dieser wird nicht vom SSL-Zertifikat abgedeckt, d.h. im schlimmsten Fall findet diese Kommunikation unverschlüsselt statt. Eine Verschlüsslung des Mailverkehrs muss nämlich auf dem Mailserver vorgenommen werden.
Zur Frage, ob nun zusätzliche Sicherungsmechanismen notwendig sind: Tendenziell nein, allerdings kommt es in der Praxis darauf an 😉 Wichtig zu verstehen ist aber, dass ein SSL-Zertifikat immer nur für den Transfer zwischen Client und Webserver gilt.