Seit Mai 2016 ist Let’s Encrypt als Vollversion verfügbar und bietet jedem Webseitenbetreiber die Möglichkeit, sich kostenlos SSL einzurichten. Doch was unterscheidet ein kostenloses SSL-Zertifikat eigentlich von einem kostenpflichtigen? Technisch gesehen nichts, organisatorisch dafür aber umso mehr.
Die wichtigste Antwort direkt zu Beginn: Nein, ein kostenloses SSL-Zertifikat ist nicht unsicherer als ein kostenpflichtiges. Was ist aber der zentrale Unterschied? Irgendwie müssen kostenlose SSL-Zertifikate ja querfinanziert werden. Auch hierauf gibt es eine schnelle Antwort: Durch Sponsoring. Let’s Encrypt macht vor wie das System funktioniert.
Der Auftrag der Let’s Encrypt-Initiative lässt sich wie folgt zusammenfassen: Verschlüsselte Kommunikation sollte ein Grundrecht im Internet sein. Denn bis 2016 mussten Nutzer für die Verschlüsselung der Kommunikation zwischen Webserver und Browser meist zahlen. Ein freier Zugang zu den Zertifikate war somit nicht gewährleistet.
Mit Let’s Encrypt existiert seit letztem Jahr nun aber eine neue Zertifizierungsstelle, die jedem User ein kostenloses SSL-Zertifikat ausstellt und die Verschlüsselung damit jedem Webseitenbesitzer weltweit zur Verfügung stellt. Das ändert vieles: Denn mit den kostenlosen Zertifikaten rücken Forderungen nach HTTPS als neuem Standard im Netz in greifbare Nähe.
Für Shopbetreiber oder Unternehmen ist das Schloss in der Adresszeile von jeher ein wichtiger Vertrauensindikator – schon allein aus rechtlichen Gründen. Doch eigentlich sollte jeder Webseitenbetreiber, egal ob Blogger, Freelancer oder Shopbetreiber, auf eine Verschlüsselung setzen. Denn diese bringt vielfältige Vorteile – und das unabhängig von den Kosten des Zertifikats. Denn bezogen auf die technischen Grundlagen der Verschlüsselung unterscheiden sich die Zertifikatstypen nicht.
In diesem Artikel werde ich daher auf die Vorteile und die technischen Grundlagen der SSL-Authentifizierung und -Verschlüsselung eingehen.
Ein SSL-Zertifikat macht deine Seite sicherer und ist gut für Google
Zunächst ist im Zusammenhang mit SSL natürlich der Sicherheitsaspekt entscheidend. Zum einen bestätigt ein Zertifikat die Echtheit des angesteuerten Servers. Zum anderen wird die Kommunikation zwischen Webserver und Client – also dem Browser – verschlüsselt. Das schützt die Kommunikation vor Zugriffen und Veränderungen und macht damit persönliche Daten, wie Adress- oder Bankinformationen, unzugänglich.
Auch für die Suchmaschinenoptimierung spielt ein SSL-Zertifikat eine wichtige Rolle. Zwar ist nicht bekannt in welchem konkreten Umfang SSL als Rankingkriterium für Google relevant ist, es ist jedoch erwiesen, dass HTTPS ein Rankingsignal ist. Schon vor gut zwei Jahren hatte Google angekündigt verschlüsselte Seiten bei den Suchergebnissen bevorzugt zu behandeln und diesen Trend nach und nach immer weiter ausbauen zu wollen.
Zudem ist seit Kurzem klar: Der Google-Browser Chrome wird unverschlüsselte Seiten demnächst mit einem „Nicht sicher“ in der Adresszeile brandmarken. Zumindest dann, wenn die Seiten auf denen Passwörter oder Kreditkarteninformationen abgefragt werden nicht verschlüsselt sind. Schon auf der Google-Entwicklerkonferenz I/O, im Januar 2016, präsentierten Entwickler der Sicherheitsfirma CloudFlare einen Screenshot, der einen Vorgeschmack auf das gibt, was Google plant.
Nicht zuletzt bevorzugt Google HTTPS auch beim Crawling.
- Sogar absolut vertrauenswürdige Seiten wie t3n.de werden mit Google Chrome als unsicher markiert. In diesem Fall rührt die Markierung aber nicht von einer unsicheren Seite her, sondern von meiner Browserkonfiguration beim Aufruf der Seite.
Ein SSL-Zertifikat macht deine Website schneller und vertrauenswürdiger
HTTPS bedeutet, dass die Kommunikation des Webservers mit dem Client verschlüsselt wird. Das heißt jedoch nicht, dass SSL ein Performancekiller wäre. Ganz im Gegenteil: Seit es den HTTP/2-Standard gibt, laufen verschlüsselte Seiten deutlich schneller als unverschlüsselte Seiten. Das gilt auch für deren mobile Versionen. Wer also bisher aus Performancegründen von einer Verschlüsselung Abstand genommen hat, dem sei gesagt: Die Sorge ist unbegründet!
Letztlich hat ein SSL-Zertifikat immer auch einen psychologischen Effekt auf die Besucher deiner Seite. Das Schlosssymbol in der Adresszeile und das gute Gefühl ob der Verschlüsselung, haben einen Effekt auf die Conversions. Man möchte meinen, dass die Verschlüsselung daher eher für Shopsysteme, Paymentanbieter etc. relevant ist. Spätestens seit Let’s Encrypt kostenlose SSL-Zertifikate anbietet, kommen aber auch Blogger und andere Internetprofessionals in den Genuss der Vorteile von HTTPS – und das ohne Mehrkosten.
Ein kostenloses SSL-Zertifikat erfüllt denselben technischen Nutzen, wie ein kostenpflichtiges
Wenn man sich über die sicherheitsrelevanten Eigenschaften von SSL unterhalten möchte, ist es zunächst wichtig zwischen den Zertifizierungsstellen und den SSL-Zertifikaten selbst zu unterscheiden.
Eine Zertifizierungsstelle – oder Certification Authority (CA) – gibt Zertifikate aus und signiert diese, bestätigt also deren Echtheit. In diesem Prozess werden auf dem Webserver Zertifikate hinterlegt. Besucht nun ein Kunde eine Website auf diesem Webserver, kann sich diese Website als Besitzer des Zertifikats ausweisen.
Der Browser überprüft das auf der Seite hinterlegte Zertifikat dann mit dem bei ihm hinterlegten “Zertifikatsbaum” (siehe Abbildung weiter unten). Das sogenannte Root-Zertifikat steht dabei an oberster Stelle. Auf dieses stützen sich alle weiteren Zertifikate und letztlich auch die kostenlosen Zertifikate von Let’s Encrypt. Sind das Root-Zertifikat und alle anderen vorgeschalteten Zertifikate gültig, dann kommt eine verschlüsselte Verbindung zustande. Die Zertifizierungsstellen sind also der Dreh- und Angelpunkt der Domainvalidierung. Und Vertrauen ist das A und O für diese Instanzen.
- So läuft der SSL-Authentifizierungsprozess grundlegend ab. Egal, ob es sich um ein kostenloses SSL-Zertifikat handelt oder um ein kostenpflichtiges Pendant.
Die Zertifikate wiederum dienen der Authentifizierung der Kommunikationspartner – also des Webservers und des Browsers – und der Einleitung des eigentlichen Verschlüsselungsmechanismus. Sie sorgen dafür, dass Webserver und Browser die richtigen öffentlichen und privaten Schlüssel erhalten, um die geschützte Kommunikation einleiten zu können.
Zunächst authentifiziert sich der Server gegenüber dem Client als Zertifikatsinhaber. Dann wird eine asymmetrische Verschlüsselung aufgebaut und entsprechende Schlüssel ausgetauscht. Diese ermöglichen dann eine symmetrische Verschlüsselung. Ab diesem Zeitpunkt wird die gesamte Kommunikation zwischen Client und Server chiffriert.
Die Schlüssel werden während der gesamten Kommunikation regelmäßig erneuert. So bleibt der Datenstrom gegen Abhören und Veränderung auch dann geschützt, wenn einem Angreifer ein einmaliges Hacken gelingen sollte.
Doch wie stark ist die Chiffrierung nun eigentlich? Das hängt ganz von den Webserverkonfigurationen des jeweiligen Hosters ab.
- Diese Abbildung zeigt die sog. Chain of Trust der Let’s Encrypt Zertifikate. Du siehst: Die Let’s Encrypt Zertifikate stützen sich Root-Zertifikate der Zertifizierungsstelle IdenTrust.
Egal ob du ein kostenloses SSL-Zertifikat hast oder nicht: auf das Vertrauen kommt es an
Zwischen kostenpflichtigen und kostenlosen SSL-Zertifikaten besteht aus technischer Sicht somit grundlegend kein Unterschied. Was sich aber massiv unterscheidet, ist die Zertifizierungsstelle. Bei der Frage nach dem Vertrauen, das der CA entgegengebracht werden kann, scheiden sich die Geister.
Hinter klassischen Zertifizierungsstellen steht ein, wirtschaftlich mehr oder weniger erfolgreiches, Unternehmen. Der wichtigste Kapitalgegenstand dieses Unternehmens ist das Vertrauen der Kunden und der Öffentlichkeit in seine Zertifizierungsleistung.
Let’s Encrypt und dessen Mutterorganisation, die Internet Security Research Group, ist im Gegensatz dazu nicht gewinnorientiert, sondern verfolgt einen gemeinnützigen Auftrag. Hinter Let’s Encrypt stehen jedoch Branchengrößen wie Chrome, Facebook, Mozilla und Linux.
Die Frage nach dem Vertrauen in die Zertifizierungsstelle ist somit zu einem gewissen Grad Ermessenssache: Vertraue ich eher dem Unternehmen, das Marketing betreibt, um das ihm entgegengebrachte Vertrauen zu maximieren, oder der gemeinnützigen Zertifizierungsstelle, die sich auf den Ruf der sie unterstützenden Branchengrößen verlässt?
Fazit: Technische Unterschiede gibt es kaum – aber organisatorische
Egal ob sie nun von Comodo, Thawte und Co. oder von Let’s Encrypt kommt: Eine SSL-Verschlüsselung bringt deiner Seite viele Vorteile und macht sie somit insgesamt wettbewerbsfähiger. Auf technischer Ebene unterscheiden sich die Zertifikatstypen kaum: HTTPS ist HTTPS. Die Verschlüsselungsstärke wiederum hat vor allem mit der Webserverkonfiguration zu tun.
Hast du ein kostenloses SSL-Zertifikat, musst du dir also keine Sorgen um Nachteile gegenüber kostenpflichtigen Zertifikaten machen. Denn der wichtigste sicherheitsrelevante Ansatzpunkt bei domainvalidierten Zertifikaten ist die Zertifizierungsstelle, nicht das Zertifikat selbst. Welcher Certification Authority man vertraut, ist wiederum Ermessenssache. Sowohl die Open Source-Initiative, die von Branchengrößen gefördert wird, als auch das gewinnorientierte Unternehmen, dessen wichtigster Unternehmenswert das Vertrauen seiner Kunden ist, haben ein Interesse daran als möglichst vertrauenswürdig angesehen zu werden.
Wir, das Raidboxes-Team, haben uns dafür entschieden dem Let’s Encrypt-Projekt zu vertrauen. Denn es ermöglicht uns die vielen Vorteile von SSL direkt – und vor allem kostenfrei – an unsere Kunden weiterzureichen.
Das mit den kostenlosen Zertifikaten ist leider so eine Sache.
Vielleicht mal darauf hinweisen, dass diese „Sicherheit“ etwas… sagen wir mal „vergiftet“ ist.
Die Zertifikate sind kostenlos, aber der private key für das Zertifikat,
sowie das Zertifikat selber werden NICHT auf dem EIGENEN Rechner erzeugt, sondern vom Anbieter.
Damit ist der private key nicht mehr privat !!!
Darauf sollte man hinweisen, wenn man schon Anbieter vergleicht oder einen bestimmten hervorhebt.