Jeder moderne Webbrowser zeigt dem Nutzer die Verwendung einer mittels HTTPS verschlüsselten Verbindung in der Adresszeile an und gibt einen Hinweis, wenn das verwendete SSL-Zertifikat nicht validiert.
- Auf die Adresszeile des Webbrowsers achten
- Beispiel nicht validierender SSL-Zertifikate im Webbrowser Chrome
- Vorsicht: Warum ein validierendes SSL-Zertifikat wichtig ist
- Die Fallstricke eines SSL-Zertifikats – warum es nicht validiert
- Videoerklärung: Was ist SSL? (Engl.)
- Weiterführende Informationen zu diesem Thema
Auf die Adresszeile des Webbrowsers achten
Der folgende Screenshot zeigt den Internet Explorer beim Aufruf von zwei unterschiedlichen Websites:
- Beim Aufruf der ersten Domain, santander.co.uk, landet der User auf der URL http://www.santander.co.uk/uk/index – einer nicht verschlüsselten Verbindung.
- Beim Aufruf der zweiten Domain, db.com, gelangt der Nutzer auf die URL https://www.db.com/index_e.htm – einer verschlüsselten Verbindung.
Beispiel nicht validierender SSL-Zertifikate im Webbrowser Chrome
Bei beiden im folgenden Screenshot zu sehenden Domains ist das SSL-Zertifikat nicht valide und der Webbrowser Chrome gibt einen entsprechenden Hinweis:
Warum validieren beide SSL-Zertifikate nicht und stellen somit eine nicht verschlüsselte Verbindung her?
- Links: Ein selbst signiertes (self-signed) SSL-Zertifikat, dessen Identität nicht bestätigt werden kann.
- Rechts: Ein von einer CA ausgestellte SSL-Zertifikat, dessen Identität bestätigt ist. Allerdings werden nicht alle Ressourcen über eine verschlüsselte Verbindung bereitgestellt, sodass eine potenzielle Sicherheitslücke besteht und der Webbrowser das Zertifikat nicht validiert.
Vorsicht: Warum ein validierendes SSL-Zertifikat wichtig ist
Mittels einem SSL-Zertifikat wird eine verschlüsselte HTTPS-Verbindung aufgebaut. Diese ist aber nur sicher, wenn das verwendete SSL-Zertifikat auch zu 100 % validiert ist. Ohne Verschlüsselung sind alle zu übertragenden Daten im Internet im Klartext einsehbar und so von Dritten manipulier- bzw. änderbar.
Darüber hinaus ist die Verwendung von HTTPS ein Google Ranking-Faktor, wenn auch nur ein geringer. Ein ungültiges Zertifikat bringt in diesem Falle keinen Ranking-Vorteil.
Mit dem kostenlosen Zertifikats-Check von SSL-Trust.com können z. B. weitere Informationen über das von einer Domain genutzte SSL-Zertifikat eingesehen werden.
Beispiel eines vertrauenswürdigen Zertifikats:
Beispiel eines nicht vertrauenswürdigen Zertifikats:
Die Fallstricke eines SSL-Zertifikats – warum es nicht validiert
Folgende Umstände können dazu führen, dass ein SSL-Zertifikat im Webbrowser nicht validiert und damit für nicht vertrauenswürdig eingestuft wird:
- es handelt sich um ein selbst signierendes Zertifikat (self-signed)
- kein bekanntes Root-Zertifikat (keine anerkannten Zertifizierungsstelle, Certification Authority (CA))
- die Gültigkeit ist abgelaufen
- die aufgerufene Domain stimmt nicht mit dem Gültigkeitsbereich der im Zertifikat eingetragenen Domain überein
- die Website enthält nicht-verschlüsselte Ressourcen, die von Drittquellen ohne HTTPS-Unterstützung nachgeladen werden
- die Unterstützung für Server-Name-Indication (SNI) fehlt im Zertifikat
- alte Protokollversion durch Nutzung von alten OpenSSL-Versionen
- Immer die neuste TLS-Bibliothek verwenden!
- SSL v2 ist unsicher und sollte nicht verwendet werden
- SSL v3 sowie TLS v1.0 und TLS v1.1 sind seit längerem nicht mehr sicher.
- TLS v1.2 ist aktuell noch der Standard.
- TLS v1.3 ist die neuste, sicherste Version. Dieser ist nicht mehr Rückwärtskompatibel was die Implementierung erschweren kann.
- die Schlüssellänge des Zertifikats ist weniger als 2048 bit
Videoerklärung: Was ist SSL? (Engl.)
Die wissenswerten Basics über SSL und wie die Verschlüsselung genau funktioniert werden in diesem englischsprachigen Video erklärt.
Weiterführende Informationen zu diesem Thema
- SSL/TLS Deployment Best Practices: PDF, engl.
- SSL Server Test mit dem SSL-Labs-Test der Firma Qualys
