In der Fachpresse hat der Start von Let’s Encrypt im Mai 2016 für viel Aufmerksamkeit gesorgt. Denn die Amerikaner bieten etwas kostenlos an, für das bisher alle Seitenbetreiber gutes Geld zahlen mussten: SSL-Zertifikate. Der Nutzen und Wert von kostenlosen SSL-Zertifikaten kann dabei gar nicht überschätzt werden.
Let’s Encrypt ermöglich nicht nur allen Seitenbetreibern weltweit ihre Angebote zu verschlüsseln, sondern macht das Netz auch zu einem sichereren, schnelleren und faireren Ort. In diesem Dossier erklären wir anschaulich, was Let’s Encrypt ist, wie es funktioniert und wie du dein nächstes SSL-Zertifikat kostenlos bekommst.
Nach einem halben Jahr am Markt konnte Let’s Encrypt bereits mehr als 14 Millionen kostenlose Zertifikate ausstellen. Das wirkt auf den ersten Blick viel, ist im Vergleich zu den Branchenriesen jedoch noch recht wenig. Gerade einmal 0,02 Prozent Marktanteil kann Let’s Encrypt auf sich vereinen.
Und doch hat die bloße Existenz der kostenlosen SSL-Zertifikate bereits einen merklichen Effekt auf den deutschen Hostingmarkt. Viele Hoster und SSL-Autoritäten bieten Seitenbetreibern heute schon ein SSL-Zertifikat kostenlos an. Das war bis vor Kurzem noch nicht so. Zugegeben: Let’s Encrypt kann nicht alles, bietet aber für die allermeisten Blogs, Shops und Unternehmensseiten alles, was man als Seitenbetreiber benötigt.
Doch neben der Verschlüsselung der eigenen Seite und einem Geschwindigkeitsvorteil leistet Let’s Encrypt noch einen weiteren wichtigen Dienst: Das kostenlose SSL macht deine Seite zukunftssicher. Denn für unverschlüsselte Seiten brechen ab 2017 harte Zeiten an. Schon seit 2014 plant Google etwas, das viele Seitenbetreiber massiv Vertrauen und Besucher kosten könnte. Seiten ohne HTTPS werden ab 2017 im hauseigenen Browser nämlich als unsicher markiert. Mozilla, die Stiftung hinter dem beliebten Firefox-Browser, hat ebenfalls Pläne, unsichere – also HTTP-Webseiten – systematisch zu benachteiligen.
Doch mit wenigen Klicks kannst du dank kostenlosem SSL diese Bedenken ausräumen. Du kannst deine Seite mit einem Zertifikat sicherer machen, rechtliche Unsicherheit reduzieren und ihr sogar noch einen Performance-Schub verpassen. Die wichtigsten Antworten und Hintergründe klären wir in diesem Dossier.
Teil 1 – Die Grundlagen: Das Märchen vom Premium-Zertifikat
Kostenlos heißt nicht, dass die Zertifikate von Let’s Encrypt weniger sicher sind. Tatsächlich unterscheiden sich die kostenlosen Zertifikate aber von den kostenpflichtigen. Dennoch gibt es in Sachen Sicherheit keinen Unterschied. Umso wichtiger ist es daher zu verstehen warum Let’s Encrypt eigentlich jedem ein SSL-Zertifikat kostenlos zur Verfügung stellt und wie das System dahinter funktioniert.
Let’s Encrypt ist eine Zertifizierungsstelle für SSL-Zertifikate – auch Certification Authority (CA) genannt – die im Mai 2015 ihren offiziellen Betrieb aufgenommen hat. Die Initiative hat einen automatisierten Prozess geschaffen, über den SSL-Zertifikate ausgestellt werden. Wegen dieser fast vollständigen Automatisierung kommt das Projekt mit sehr wenigen Mitarbeitern aus und kann die Zertifikate auch kostenlos anbieten. Die anfallenden Kosten für Mitarbeiter und Infrastruktur werden über Spenden und Sponsorings gedeckt.
Egal, ob das Zertifikat nun kostenlos oder kostenpflichtig ist: es erfüllt immer dieselbe Aufgabe. Es zeigt dem Nutzer, dass er sich auf der “richtigen” Website befindet und dass der Datenverkehr zwischen Browser und Webserver verschlüsselt wird.
Let’s Encrypt ist u.a. kostenlos, weil “HTTPS everywhere” eine Idee der Branchengrößen ist
Doch die drängendste Frage zuerst: Ist Let’s Encrypt wirklich kostenlos? Beziehungsweise: Wo ist der Haken? Um es kurz zu machen: Ja, weder die Zertifikate, noch die benötigten Programme kosten Geld. Und: es gibt keinen Haken. Häufig stehen hinter dieser Frage jedoch nicht rein wirtschaftliche Beweggründe, sondern vor allem die weiterführende Frage danach, warum Let’s Encrypt kostenlos ist. Warum also ein Produkt, das sich andere Organisationen zuvor entlohnen ließen, plötzlich kostenlos anbieten..
„We provide certificates free of charge, because cost excludes people. Our certificates are available in every country in the world, because the secure Web is for everyone.“ – Let’s Encrypt
Let’s Encrypt hat verhältnismäßig geringe Personalkosten, da fast alle Prozesse automatisiert sind. Zudem wird einiges an händischer Arbeit von Mitarbeitern anderer gemeinnütziger Organisationen übernommen – beispielsweise das Pflegen des kleinen Programms, das die Zertifikate ausstellt, dem sogenannten Certbot.
Somit fällt eine große finanzielle Belastung weg. Auch die benötigte Hardware ist durch die Kooperation mit der Linux-Foundation zu großen Teilen abgegolten. Für alle weiteren Kosten sind Sponsoren- und Spendengelder gedacht. Die offiziellen Sponsorings werden mit bis zu 350.000$ jährlich angegeben.
Neben Branchengrößen, wie Mozilla, Cisco, Chrome oder Facebook, gehören auch Unternehmen aus dem WordPress-Bereich zu den Unterstützern des Let’s Encrypt-Projekts, wie beispielsweise Automattic. Das Unternehmen des WordPress-Mitgründers Matt Mullenweg hat sich vor allem durch seine standardmäßige Integration von Let’s Encrypt Zertifikaten auf WordPress.com hervorgetan.
HTTPS Everywhere: Encryption for All https://t.co/eRvNKWrZcZ Sites https://t.co/QLVPvZgmqh pic.twitter.com/drJ7ZddPW8
— WordPress.com (@wordpressdotcom) 8. April 2016
Den Beweggrund, den alle Sponsoren des Projekts gerne prominent erwähnen, ist der Wunsch, Gleichberechtigung im Netz zu schaffen. Denn man kann davon ausgehen, dass HTTPS in Zukunft ein noch wichtigeres Ranking-Kriterium werden wird. Und wenn sich bestimmte Websites entweder die Zertifikate nicht leisten können oder keinen Zugang zu solchen haben, grenzt dies bestimmte Seiten – und damit bestimmte Personen und deren WordPress-Projekte – von der Teilhabe im Internet aus.
Einige Sponsoren werden zudem bald Technologien einführen, die unverschlüsselte Seiten markieren und somit den Druck auf die Betreiber erhöhen, sich Zertifikate zu besorgen. So hat Google im Juli 2018 umgesetzt, dass alle HTTP-Seiten im Chrome-Browser als „not secure“ markiert werden.
Eine Zertifizierungsstelle, die jedem Seitenbetreiber ein SSL-Zertifikat kostenlos ausgibt, passt somit hervorragend in die Pläne der größten Sponsoren von Let’s Encrypt. Solche Anbieter, die “HTTPS everywhere” propagieren sind also auch maßgeblich an der Etablierung einer kostenlosen SSL-Infrastruktur beteiligt.
Let’s Encrypt ist keine kleine NGO mehr
Let’s Encrypt selbst ist lediglich die Zertifizierungsstelle, also die Autorität, die die Zertifikate ausstellt. Das organisatorische Gesamtkonstrukt ist aber deutlich größer. Die Mutterorganisation von Let’s Encrypt ist die Internet Security Research Group (ISRG) mit Sitz in San Francisco. Dem Vorstand dieser Non-Profit-Organisation gehören Wissenschaftler, Unternehmensvertreter und Vertreter von Stiftungen und weiteren gemeinnützigen Organisationen an.
Mindestens zwei weitere Organisationen werden im Zusammenhang mit Let’s Encrypt ebenfalls wichtig. Zum einen die Electronic Frontier Foundation (EFF), die seit Mai 2016 Certbot, die Zertifizierungssoftware für das Erstellen von Let’s Encrypt Zertifikaten, betreut. Zum anderen die Linux Foundation, die über ihr Collaborative Projects-Programm die technische Infrastruktur für Let’s Encrypt bereitstellt. Insgesamt betreuen also gleich mehrere Teams aus Non-Profit-Organisationen Let’s Encrypt und die entsprechende Infrastruktur.
Im September 2016 veröffentlichte die Organisation eine genaue Kostenaufstellung für das Jahr 2017. Diese zeigt, dass pro Mitarbeiter circa 200.000$ Arbeitgeberkosten einkalkuliert werden. Das Let’s Encrypt-Personal wird also recht gut entlohnt. In den USA sind solche Besoldungsstufen jedoch, ob der Konkurrenz zu Branchenriesen, anscheinend notwendig.
SSL ist SSL ist SSL – In Sachen Sicherheit gibt es keine Premium-Zertifikate
Die kostenlosen Zertifikate der US-Amerikaner sind nicht unsicherer als die kostenpflichtiger deutscher Anbieter. Das Ergebnis ist also immer dasselbe: Der Seitenbetreiber kann den Datenverkehr zwischen Server und Client (also dem Browser) verschlüsseln und damit das Abgreifen persönlicher Daten, wie der Anschrift, der Telefonnummer, vor allem aber von Bankdaten, verhindern.
Als deutscher Webseitenbetreiber bist du verpflichtet, deine Seite gegen das Abgreifen personenbezogener Daten zu sichern, sobald du diese erhebst. Das heißt: Theoretisch gehört schon ein Kontaktformular zur Riege der relevanten Fälle.
Natürlich gilt das erst recht dann, wenn du die Bankdaten oder sonstige vertrauliche Daten der Kunden abfragst. Willst du Bezahlsysteme wie z.B. PayPal nutzen, ist ein SSL-Zertifikat zudem Grundvoraussetzung. Ohne HTTPS bleibt dir also nicht nur der Weg in den E-Commerce verschlossen, sondern begibst du dich auch in Abmahngefahr.
Das Prinzip der SSL-Verschlüsselung ist bei allen Zertifikaten gleich: Die Zertifizierungsstelle stellt mit dem SSL-Zertifikat eine Art Versicherung für den Besucher der Website aus. Bei einer Domainvalidierung bedeutet das, dass das Zertifikat bestätigt, dass die gerade besuchte Webseite auch auf dem Server liegt, der das Zertifikat für die angesteuerte Domain innehat.
Wenn du also zum Beispiel https://raidboxes.de besuchst, dann sagt das grüne Schloss in der Adresszeile aus, dass der Server, auf dem die Seite liegt, auch der Server des Domaininhabers ist. Du weißt also, dass du auf der richtigen Seite surfst.
Zusätzlich dazu gibt es noch sogenannte Organization Validated und Extended Validation-Zertifikate. Diese geben an, dass die Seite auch wirklich der Organisation gehört, deren Website man besuchen möchte. Das ist besonders für Banken oder Payment-Anbieter wie z.B. PayPal oder Stripe relevant.
Wenn du eine Seite aufrufst, die durch eines der kostenlosen Let’s Encrypt-Zertifikate verschlüsselt ist, dann passiert folgendes:
Eine Zertifizierungsstelle – oder Certification Authority (CA) – gibt Zertifikate aus und signiert diese, bestätigt also deren Echtheit. In diesem Prozess werden auf dem Webserver Zertifikate hinterlegt. Besucht nun ein Kunde eine Website auf diesem Webserver, kann sich diese Website als Besitzer des Zertifikats ausweisen.
Der Browser überprüft das auf der Seite hinterlegte Zertifikat dann mit dem bei ihm hinterlegten “Zertifikatsbaum” (siehe Abbildung weiter unten). Das sogenannte Root-Zertifikat steht dabei an oberster Stelle. Auf dieses stützen sich alle weiteren Zertifikate und letztlich auch die kostenlosen Zertifikate von Let’s Encrypt. Sind das Root-Zertifikat und alle anderen vorgeschalteten Zertifikate gültig, dann kommt eine verschlüsselte Verbindung zustande. Die Zertifizierungsstellen sind also der Dreh- und Angelpunkt der Domainvalidierung. Und Vertrauen ist das A und O für diese Instanzen.
Die Zertifikate wiederum dienen der Authentifizierung der Kommunikationspartner – also des Webservers und des Browsers – und der Einleitung des eigentlichen Verschlüsselungsmechanismus. Sie sorgen dafür, dass Webserver und Browser die richtigen öffentlichen und privaten Schlüssel erhalten, um die geschützte Kommunikation einleiten zu können.
Zunächst authentifiziert sich der Server gegenüber dem Client als Zertifikatsinhaber. Dann wird eine asymmetrische Verschlüsselung aufgebaut und entsprechende Schlüssel ausgetauscht. Diese ermöglichen dann eine symmetrische Verschlüsselung. Ab diesem Zeitpunkt wird die gesamte Kommunikation zwischen Client und Server chiffriert.
Die Schlüssel werden während der gesamten Kommunikation regelmäßig erneuert. So bleibt der Datenstrom gegen Abhören und Veränderung auch dann geschützt, wenn einem Angreifer ein einmaliges Hacken gelingen sollte. Die Stärke dieser Verschlüsselung hängt dann von den Webserverkonfigurationen des Hosters ab und nicht vom Zertifikat.
Zentrales Element der SSL-Zertifikate ist die Chain of Trust
Die Chain of Trust ist das grundlegende Prinzip hinter allen klassischen SSL-Zertifikaten. Eine Organisation garantiert, dass ein bestimmtes Ursprungszertifikat (Root-Zertifikat) vertrauenswürdig ist. Dass also die Aussagen, die das Zertifikat enthält – wie „Seite X gehört zu Domain Y“, oder „Domain Y gehört Anbieter Z“ – richtig sind. Solange dieser ursprünglichen Zertifizierungsstelle vertraut wird, funktioniert das System.
Die Zertifikate aller SSL-Anbieter basieren in der Regel auf solchen Root-Zertifikaten. So erlangen die Anbieter Vertrauenswürdigkeit und können wiederum ihre Aufgabe, das Signieren von Zertifikaten, erfüllen. Kleinere Anbieter stützen sich also auf die Vertrauenswürdigkeit größerer Anbieter. Oder andersherum: Größere Anbieter geben ihre Vertrauenswürdigkeit an die kleineren weiter. So erschaffen sie die Chain of Trust:
Ist das Root-Zertifikat nun aber korrumpiert, bricht die Kette ab und die Zertifikate werden theoretisch wertlos. Das gilt wiederum aber für alle SSL-Zertifikate, egal ob diese kostenlos oder kostenpflichtig sind.
Die eingeschränkte Validierung ist der Zentrale Nachteil der Let’s Encrypt-Zertifikate
SSL-Zertifikate funktionieren, indem sie dir garantieren, dass die besuchte Webseite zu einem bestimmten Gegenstück gehört. Im Regelfall ist dies die Domain, also die Adresse der Webseite. Das Zertifikat versichert in einem solchen Fall, dass die angesteuerte Seite auch wirklich zu der angesteuerten Domain gehört. Das ist das niedrigste Validierungslevel.
Darüber gibt es noch eine Organisationsvalidierung und erweiterte Validierungen. Letztere versichern, dass die angesteuerte Seite auch wirklich dem Unternehmen gehört, das man hinter der Seite vermutet. Für Banken und Payment-Anbieter ist das essentiell.
Let’s Encrypt-Zertifikate bieten ausschließlich eine Domainvalidierung. Erweiterte Validierungen sind derzeit noch nicht möglich und werden wohl auch in Zukunft nicht eingeführt werden. Denn das Authentifizierungsverfahren für Organisationen und Unternehmen ist aufwändig und verlangt nach menschlicher Arbeitskraft. Let’s Encrypt kann seine Zertifikate jedoch nur deswegen kostenlos anbieten, weil alle Prozesse so weit wie möglich automatisiert sind. Sie brauchen also eben keine menschliche Arbeitskraft.
Mit Let’s Encrypt-Zertifikaten können mehrere Domains validiert werden
Seite einigen Wochen erlauben es die kostenlosen SSL-Zertifikate mehrere Domains unter einem Zertifikat zusammenzufassen. Das macht die kostenlosen Zertifikate auch für komplexere Seitenstrukturen mit mehreren Top-Level-Domains und Subdomains einsetzbar.
Fazit: Niemand muss heutzutage noch für SSL-Zertifikate zahlen
Die kostenlosen SSL-Zertifikate von Let’s Encrypt sind genauso sicher und leisten ähnlich viel wie kostenpflichtige Zertifikate. Damit haben die US-Amerikaner vor allem die deutschen Hosting-Anbieter unter Druck gesetzt. Das hat dazu geführt, dass heute schon niemand mehr für SSL zahlen muss. Die entscheidende Erkenntnis von Let’s Encrypt ist: Kostenloses HTTPS ist möglich und wichtig für das Internet als Ganzes. Und ganz nebenbei profitieren davon vor allem kleine und mittelgroße Seitenbetreiber. Denn diese sparen zum einen Kosten und schaffen zum anderen Rechtssicherheit für ihre Angebote.
Im zweiten Teil dieses Dossiers zeigen wir, wie Let’s Encrypt heute dasteht und wie zukunftssicher die Zertifikate sind. Denn wir haben schon häufig die Frage gehört was eigentlich mit der eigenen Seite passiert, wenn Let’s Encrypt scheitern sollte. In Teil 3 dieses Dossiers zeigen wir, welche konkreten Vorteile in Sachen Performance und Sicherheit Let’s Encrypt bringt, auf was es zu achten gilt und wie man ein solches Zertifikat einrichtet.
Teil 2 – Let’s Encrypt hat riesiges Potenzial, vor allem für kleine und mittlere Webseiten
Wir hören die Frage immer wieder: “Was passiert, wenn Let’s Encrypt scheitert?”. Mit seinen mittlerweile mehr als 100 Millionen ausgestellten Zertifikaten hat Let’s Encrypt bereits einen wichtigen Meilenstein erreicht. Im Marktvergleich der Certification Authorities weltweit ist Let’s Encrypt schon auf Platz 10 aufgestiegen.
Seitdem Let’s Encrypt im Mai 2016 offiziell an den Start gegangen ist, überschlagen sich die Meilensteine: Zwei Millionen, fünf Millionen, 14 Millionen, vor Kurzem dann 100 Millionen kostenlose SSL- Zertifikate. Diese Zahl bedeutet allerdings nicht, dass diese 100 Mio. ausgestellten Zertifikate auch aktiv sind. Vielmehr muss man sich der eigentlichen Zahl von mehreren Seiten nähern und sie hinterfragen: Was steckt tatsächlich dahinter?
Nicht alle der 100 Millionen ausgestellten Zertifikaten sind gültig
Die Zahl 100.000.000 sagt zunächst einmal recht wenig aus. Denn sie enthält Datenmüll: Zertifikatserneuerungen, Mehrfachzertifizierungen und abgelaufene Zertifikate werden nämlich mitgezählt. Weiß man zudem, dass der Erneuerungszyklus für Let’s Encrypt-Zertifikate 90 Tage beträgt, relativiert sich die Zahl recht schnell.
Informativer ist da schon die Zahl der aktuell gültigen Zertifikate: derzeit zählt Let’s Encrypt circa 53 Millionen gültige Zertifikate. Auch dies heißt zwar nicht, dass es tatsächlich so viele Seiten gibt, die mit Let’s Encrypt verschlüsselt werden. Aber die Zahl gibt schon einen ersten Näherungswert.
Let’s Encrypt derzeit auf Platz 10 im weltweiten Vergleich
Eine weitere gute Quelle, um Let’s Encrypt richtig einschätzen zu können, sind die Daten von w3techs.com. Der Dienst erhebt, auf Grundlage der von Alexa ausgegebenen Top 10 Millionen Websites, die Anteile bestimmter Internettechnologien. Die entsprechenden Websites werden gezielt nach bestimmten Technologien durchsucht. Wird ein Treffer erzielt, geht dieser in die Zählung ein. Näheres zur verwendeten Stichprobe findest du hier.
Laut w3techs ist Let’s Encrypt mit etwas mehr als 0,2 Prozent Marktanteil und 0,1 Nutzung unter den top Webseiten derzeit noch ein Zwerg in den Rängen der Certification Authorities. Immerhin hat es Let’s Encrypt mittlerweile auf Platz 10 geschafft, was bei der Konkurrenz durch Schwergewichte auf dem Markt wie IdenTrust (45.1% Marktanteil), Comodo (31.5%), DigiCert (11.1%) und GoDaddy (6,9%) auf den ersten Rängen nicht zu verachten ist.
In diesem Zusammenhang ist zu erwähnen, dass die Zertifizierungsstelle IndenTrust die Root-Zertifikate für Let’s Encrypt liefert. Dass diese Platz 1 belegen, ist also ein gutes Zeichen. Denn wenn die Quelle der Root-Zertifikate hohe Vertrauenswürdigkeit genießt, dann sind auch die auf diesen Root-Zertifikaten basierenden Dienste tendenziell gut aufgestellt.
Let’s Encrypt-Zertifikate werden derzeit eher von kleinen und mittleren Seiten genutzt
Da erweiterte Validierungen mit Let’s Encrypt derzeit nicht nutzbar sind, nutzen vor allem kleinere Seiten die kostenlosen Zertifikate, die gut auf eine erweiterte Validierung verzichten können. Die w3techs-Daten zeigen deutlich, dass Let’s Encrypt derzeit vor allem von Seiten mit geringem bis mittlerem Traffic genutzt wird. Die größten Player am Markt hingegen bedienen eher Seiten mit durchschnittlich hohem Traffic. Es ist anzunehmen, dass es sich bei diesen Seiten vor allem um kommerzielle Angebote handelt, die auf eine erweiterte Validierung angewiesen sind, oder aufgrund ihrer komplexen Struktur den Wechsel auf die kostenlosen SSL-Zertifikate nicht ohne Weiteres vollziehen können.
Fazit: Let’s Encrypt hat großes Potenzial, da noch immer knapp 17% der Seiten unverschlüsselt sind
Für einen Blick in die Zukunft sind weniger die Seiten mit, als mehr die Seiten ohne SSL-Zertifikat interessant. Laut w3techs sind das 16,9 Prozent. Zwar sind die Gründe für das Fehlen eines SSL-Zertifikats bei diesen Seiten nicht aufgeschlüsselt, für einen guten Prozentsatz davon dürften aber die Kosten in Kombination mit den technischen Hürden die Haupthindernisse sein.
Sowohl die Kostenhürde als auch die Probleme bei der Einrichtung werden nun durch Let’s Encrypt weitestgehend beseitigt. Und wenn die Hosting-Anbieter die Zertifikate entsprechend in ihre Angebote integrieren, wird es sogar noch einfacher. Denn meist sind dann 1-Klick-Lösungen das Ergebnis. Je mehr Bekanntheit die kalifornische Initiative erlangt, desto kleiner dürfte somit auch die Zahl der Seiten werden, die kein SSL-Zertifikat haben.
Bisher scheint es so, dass Let’s Encrypt der Übergang ins exponentielle Wachstum noch nicht gelungen ist. Das könnte sich 2018 ändern, wenn Chrome damit beginnt, Webseiten ohne HTTPS zu kennzeichnen. Auch wird das Verhalten anderer Browser-Hersteller in dieser Angelegenheit Einfluss auf die weitere Entwicklung haben. Die Entwicklung, die Let’s Encrypt angestoßen hat ist aber in jedem Fall zu begrüßen, sowohl für die Seitenbetreiber als auch für die Hosting-Anbieter.
Die Anbieter sind es auch, die darüber bestimmen, wie einfach oder kompliziert die Einrichtung von kostenlosem SSL ist. Im letzten Teil dieses Dossiers zeigen wir, welche Vorteile die kostenlosen SSL-Zertifikate von Let’s Encrypt bringen und wie du an eines kommst.
Teil 3 – Mehrwerte von SSL-Zertifikaten und Einrichtung von Let’s Encrypt
Klar: Der Sicherheitsaspekt ist der wichtigste Vorteil von HTTPS. Doch auf der richtigen Infrastruktur bringt die Verschlüsselung sogar einen Performance-Vorteil. Bestellen kannst du dein kostenloses SSL-Zertifikat meist über deinen Hoster. Oder aber du hast Ahnung und kannst es eigenhändig einrichten.
Ein SSL-Zertifikat stellt die eigene Seite vom unverschlüsselten HTTP auf das sichere HTTPS um. Dabei werden die Daten, die zwischen Browser und Webserver ausgetauscht werden, verschlüsselt. Somit bringt ein SSL-Zertifikat insgesamt drei zentrale Vorteile: (1) Verschlüsselung personenbezogener Daten. (2) Rechtssicherheit für den Seitenbetreiber. (3) Kürzere Ladezeit dank HTTP/2.
Verschlüsselung der Kommunikation zwischen Browser und Web Server
Der Hauptnutzen eines SSL-Zertifikats besteht darin, dass die Kommunikation zwischen Webserver und Browser verschlüsselt wird. Der Authentifizierungsprozess ist der Verschlüsselung vorgeschaltet und sorgt dafür, dass die Zertifikate noch einen zweiten Nutzen, nämlich die Identifikation des Zertifikatsinhabers, erfüllen.
Beides schafft Vertrauen beim Nutzer. Denn dieser weiß nicht nur, dass er sich auf der richtigen Webseite befindet, sondern auch, dass niemand die Daten einfach mitlesen kann, die er auf der Seite eingibt. Beispielsweise Adressinformationen oder Bankdaten.
Dieses Mehr an Vertrauen kann dem eigenen Onlinebusiness zuträglich sein. Meist ist ein SSL-Zertifikat aber ohnehin Pflicht.
Wenn personenbezogene Daten abgefragt werden, dann müssen diese geschützt werden
Unabhängig von der am 25. Mai 2018 in Kraft getretenen Datenschutz-Grundverordnung (DSGVO), ist schon seit Jahren die Sicherung sensibler Daten in Deutschland verpflichtend. Zumindest theoretisch. Denn laut §13 des Telemediengesetzes gilt:
Dienstleister „[…], soweit dies technisch möglich und wirtschaftliche zumutbar ist, im Rahmen ihrer jeweiligen Verantwortlichkeit für geschäftsmäßige angebotene Telemedien durch technische und organisatorische Vorkehrungen sicherzustellen, dass […] die genutzten technischen Einrichtungen […] gegen Verletzung des Schutzes personenbezogener Daten […] gesichert sind”
Vor allem die unklare Formulierung hat sehr viel Unsicherheit bei deutschen Seitenbetreiber hervorgerufen: Ist der eigene Blog geschäftsmäßig? Ab wann kann er als solcher eingestuft werden? Was ist technisch möglich? Was ist wirtschaftlich zumutbar? Über diese und weitere Fragen wurde teils schon sehr ausführlich diskutiert. Ohne eindeutiges Ergebnis.
Tenor scheint jedoch zu sein: Eine SSL-Verschlüsselung ist keine Pflicht. Aber eben eine Sicherung der Daten. Dies muss nicht über ein SSL-Zertifikat geschehen. Eine Verschlüsselung der Kommunikation zwischen Browser und Webserver ist aber eine sehr gute und verhältnismäßig einfache Möglichkeit die sensiblen Daten der Seitenbesucher zu schützen.
Für Seitenbetreiber heißt das, dass ein SSL-Zertifikat sehr schnell sehr viel Rechtsunsicherheit nimmt und die Abmahngefahr massiv verringert. Dabei ist es vollkommen egal, ob das Zertifikat kostenlos oder kostenpflichtig ist. Auf die Verschlüsselung an sich kommt es an.
HTTPS ein Performance-Killer? Ein Irrglaube – Wenn der Hoster entsprechend vorgesorgt hat
Immer wieder äußern Seitenbetreiber Bedenken, ob nicht die Seitenladezeit durch die Verschlüsselung leide. Diese sind mehr als unbegründet. Nicht nur ist der Authentifizierungsprozess nicht sonderlich leistungshungrig, auch macht SSL die eigene Seite sogar schneller. Zumindest dann, wenn auf dem Webserver der sogenannte HTTP/2-Standard eingerichtet ist.
Dieser sorgt unter anderem dank parallelem Laden der Datenpakete und einer optimierten Kommunikation zwischen Browser und Server – dem sogenannten Serverpush – dafür, dass die Seite schneller geladen wird.
Der Support deines Hosting-Anbieters kann Auskunft darüber geben, ob HTTP/2 aktiv ist.
Je nach Hoster ist die Einrichtung eines kostenlosen SSL-Zertifikats einfach oder aufwändiger
Prinzipiell gilt: Jeder Nutzer, der entsprechende Zugriffsrechte auf den Server hat, kann Let’s Encrypt relativ einfach selbst einrichten. In den allermeisten Fällen ist das allerdings gar nicht nötig. Denn viele Hosting-Anbieter haben mittlerweile entsprechend komfortable Lösungen in ihr Angebot integriert.
Grundlegend kann man unterscheiden zwischen:
Anbietern, die Let’s Encrypt zulassen, bei denen man es aber selbst einrichten muss. Anbietern, die Let’s Encrypt selbst nicht zulassen, aber dennoch kostenlose Zertifikate anbieten und Anbietern, die Let’s Encrypt in ihre Bedienoberfläche integriert haben.
Zur zweiten Gruppe gehören einige große deutsche Hoster. Sie haben zwar Let’s Encrypt nicht integriert, haben seit dem Start der Initiative aber nachgezogen und bieten nun kostenloses SSL ihrer Kooperationspartner an. Meist sind die Zertifikate in den Tarifen enthalten. Wie genau man diese jedoch aktiviert, kann sich von Anbieter zu Anbieter unterscheiden.
Im Optimalfall haben die Anbieter kostenloses SSL in ihre Bedienoberflächen integriert und die Installation wird komfortabel automatisch durchgeführt. Einige wenige Anbieter haben dies mit den Let’s Encrypt Zertifikaten gemacht. Die Funktion kann dann beispielsweise so wie unsere ausschauen:
Über einen einfachen Klick kann SSL dann aktiviert und, wenn nötig, wieder abgeschaltet werden. Bei einigen Anbietern ist SSL auch schlicht automatisch aktiviert.
Fazit: SSL bringt viele Vorteile und Ist eigentlich überall umsonst zu haben
Im Prinzip steht jedem Seitenbetreiber also auf die eine oder andere Weise ein SSL-Zertifikat kostenlos zur Verfügung. Auch die Einrichtung beschränkt sich in den allermeisten Fällen auf einen oder wenige Klicks. Daher können wir nur raten, sich zeitnah mit dem eigenen Hosting-Angebot auseinanderzusetzen und die eigene Seite möglichst schnell zukunftssicher zu machen. Denn neben Google hat auch Mozilla angekündigt, unverschlüsselte Seiten entsprechend zu benachteiligen. Mit ein wenig Vorbereitung muss sich jedoch kein Seitenbetreiber sorgen.