SSL

Durch SSL-Verschlüsselung (Secure Socket Layer) wird eine sichere Verbindung zwischen Client und Server ermöglicht. Es handelt sich um ein Internetprotokoll, mit dem sensible Daten (z.B. Bezahlinformationen, Kreditkartendaten) verschlüsselt übertragen und somit nicht von Dritten ausgelesen werden können. Zusätzlich wird durch ein Zertifikat bestätigt, dass der Server vertrauenswürdig ist. Aktuell spricht man auch von TLS (Transport Layer Security), was gleichbedeutend ist.

Bedeutung

SSL ist eine gängige Verschlüsselungsmethode bei HTTPS-Verbindungen. Solche Verbindungen werden aufgebaut, wenn über die Verbindung sensible Daten gesendet werden sollen. Dazu gehören in erster Linie Webseiten, bei denen der User einen passwortgeschützten Account hat. Ohne diese sichere Verbindung wäre kein Onlinebanking, keine E-Mails, keine Online-Shops und keine sozialen Netzwerke möglich - auch der Urlaub könnte nicht online gebucht werden. Somit hat eine Verschlüsselungstechnik wie SSL eine sehr hohe Bedeutung für die moderne Internetgesellschaft.

SSL-Zertifikat

Das SSL-Zertifikat dient der Authentifizierung des Webseitenbetreibers. Insbesondere im E-Commerce ist es sehr wichtig die Datenübertragung mittels eines SSL-Zertifikats zu verschlüsseln, da bei der SSL-Verschlüsselung lediglich die Datenübertragung von Server zu Client geschützt wird. Bei Transaktionen wie Bezahlung ist es von Bedeutung, dass der Anbieter identifiziert werden kann. Dies kann mit Hilfe eines SSL-Zertifikats geschehen. Zusätzlich verschafft ein solches Zertifikat Vertrauen und kann einen Besucher zum Kunden konvertieren.

Inhalt und Funktion

Über einen Klick auf das “https” in der Adresszeile kann jeder Nutzer das verwendete Zertifikat lesen. Es liefert Informationen über den Zertifikataussteller und den Inhaber. Ein Aussteller ist zum Beispiel VeriSign, Inc. Dieser überprüft den Inhaber und kann ihn als vertrauenswürdig ausweisen. Das Zertifikat dient also als Beleg dafür, dass der Seiteninhaber tatsächlich so existiert und ein ehrlicher Verkäufer, Banker o.Ä. ist. Das Zertifikat beinhaltet zudem ein Ablaufdatum. SSL-Zertifikate gibt es in 128-Bit und 256-Bit-Varianten. Das letztere gilt als sicherer.

Varianten

Nicht jedes Zertifikat ist gleichwertig. Es gibt so genannte Validierungsstufen, die unterschiedliche Dinge validieren und somit unterschiedliche Sicherheitsstufen darstellen. Am schwächsten ist das domainvalidierte Zertifikat. Hierbei wird nur überprüft, ob die E-Mail-Adresse der Domain als administrativ gilt. Vor Angriffen wie Phishing schützt diese Validierungsstufe nicht. Weiterhin gibt es zum Beispiel Zertifikate, die die Organisation validieren. Eine hohe Sicherheit, wie sie bei Bankverbindungen benötigt wird, gewährleistet ein EV-SSL-Zertifikat (Extended Validation). Wird bei einer https-Verbindung ein hochwertiger Browser genutzt, so wird bei diesem Zertifikat - und nur bei diesem - die Adressleiste teilweise grün eingefärbt. Das EV-SSL-Zertifikat bekommt ein Unternehmen erst nach einer ausführlichen, erweiterten und vereinheitlichten Überprüfung. Dadurch ist eine Authentifizierung auf hohem Niveau gewährleistet.

Rechtliches

Aus rechtlicher Sicht ist eine Authentifizierung auf digitaler Basis fragwürdig. Nicht selten sind digitale Dokumente nicht rechtskräftig. In Deutschland gibt es seit 2001 ein Signaturgesetz. Zusammen mit der Signaturverordnung wird alles zum Thema SSL-Zertifikat geregelt. Die Bundesnetzagentur ist die oberste Zertifizierungsstelle. Sie kann selber akkreditierte Zertifizierungsstellen ernennen.

600x400-SSL DE-neu.png

Sicherheit

Die Übertragung der Daten ist in jedem Fall sicher und kann nicht von Dritten gestört werden. Allerdings kann SSL nicht beeinflussen, wie der Webseitenbetreiber mit den ihm anvertrauten, empfangengen Daten umgeht. Wenn diese ungesichert auf einem Server gespeichert werden, sind sie nicht gegen Hacker-Angriffe geschützt. Die Encrypted Search basiert ebenfalls auf der SSL Verschlüsselung. Durch sie können die Daten des Nutzers verschlüsselt werden, sodass dieser nicht getrackt werden kann.

Funktionsweise

Unterschiedliche Verschlüsselungen

SSL-Verschlüsselung gewährleistet eine sicherere Verbindung zwischen einem Server und einem Client. Dabei werden Anwendungsprotokolle wie HTTP, IMAP, POP3, SMTP, die unverschlüsselt übertragen werden, gesichert. Dies schützt sensible Daten vor unerwünschten Manipulationen und Zugriffen Dritter. Dabei werden in der Kryptographie bekannte Verschlüsselungsmethoden wie

  • symmetrische Verschlüsselung (nur ein Schlüssel)
  • asymmetrische Verschlüsselung (zwei Schlüssel)
  • Hash-Funktion (Fingerprint)

angewendet. Grob gesagt wird überprüft, ob das Gesendete und das Empfangene 100% übereinstimmen.

Unterstützung der Browser

Alle bekannten Standardbrowser unterstützen SSL-Verschlüsselung. Bei Crome, Firefox, Safari, sowie bei aktuellen Versionen von Opera und Internet Explorer sollte es keine Probleme geben.

Vor- und Nachteile

  • Sensible Vorgänge wie Online-Banking wären ohne Verschlüsselung nicht möglich. Somit trägt SSL zur Bequemlichkeit der Menschen bei. Vorgänge wie das Online-Shopping bringen dem Nutzer Zeitersparnis.
  • Ein SSL-Zertifikat dient dem Besucher einer Seite als Hinweis auf einen vertrauenswürdigen Anbieter. Je mehr Vertrauen man dem potenziellen Kunden entgegen bringt, desto eher kann man ihn als Kunden binden.
  • Von der technischen Seite aus gesehen ist ein großer Vorteil, dass SSL unabhängig vom Betriebssystem arbeitet. Der verwendete Browser ist (fast) egal und es muss keine zusätzliche Software installiert werden - somit kann ohne Einschränkung jeder eine Verbindung mit SSL-Verschlüsselung aufbauen.
  • Die User Experience wird insofern gemindert, dass der Verbindungsaufbau länger dauert, als bei einfachen Seiten. Der Server muss deutlich mehr rechnen und braucht dementsprechend mehr Zeit.

Kritik

  • Es gab 2010 Berichte, dass Verbindungen, die SSL-gesichert sind, routinemäßig von staalichen Einrichtungen abgehört werden. [1]
  • Auch 2011 war von einem SSL-GAU die Rede. Ein Herausgeber von Zertifikaten wurde kompromittiert und Unbefugte kamen an bereits gültige Zertifikate. In Folge schreibt Heise.de, dass SSL-Verschlüsselung kein Konzept für die Zukunft ist. [2]
  • Im Jahr 2014 wurde das Heartbleed Bug aufgedeckt, durch welches mehrere Daten ausgespäht werden konnten. Unter Webmaster und Online-Shops waren auch Privatuser betroffen. Das gesamte Ausmaß ist nicht bekannt.

Allgemein steht die Herausgabe und Fälschung von Zertifikaten in der Kritik.

Nutzen für die SEO

Lange Zeit war die SSL-Verschlüsselung von Websites lediglich ein Sicherheitsfeature, das nur für sensible Bereiche wie den Warenkorb oder den Checkout, aber selten seitenweit eingesetzt wurde. In Bezug auf die Suchmaschinenoptimierung wurde deshalb meist lediglich auf mögliche Probleme mit Duplicate Content verwiesen. Dies war immer dann möglich, wenn URLs einer Domain sowohl mit https als auch mit http den gleichen Content auslieferten.

Doch im August 2014 hat Google in einem Blogbeitrag die SSL-Verschlüsselung von Websites offiziell als Rankingfaktor deklariert.[3] Google selbst hat seine Websuche seit 2011 komplett auf https-Verbindungen umgestellt. Für Webmaster wird nun die Frage nach mehr Sicherheit für die User mit der Frage nach einer optimalen Suchmaschinenoptimierung verknüpft.

Im oben genannten Blogbeitrag erwähnen die Autoren, dass es sich bei der SSL-Verschlüsselung um einen relativ kleinen Rankingfaktor (engl. minor ranking factor) handelt. Dabei wird der Vergleich zu weit schwerwiegenderen Faktoren wie dem Website-Content gezogen. Zudem wird Webmastern viel Zeit zur Umstellung auf verschlüsselte Verbindungen gegeben.

Wie stark sich die SSL-Verschlüsselung von Websites in Zukunft auf die Rankings auswirken wird, bleibt vorerst offen (Stand: August 2014). Es ist aber davon auszugehen, dass vor allem in stark umkämpften Keyword-Bereichen gerade kleinere Rankingfaktoren letztlich entscheidend für eine vordere Platzierung sein können.

Einzelnachweise

  1. EFF zweifelt Abhörsicherheit von SSL an heise.de. Abgerufen am 29.08.2014
  2. SSL GAU zwingt Browser Hersteller zu Updates heise.de. Abgerufen am 29.08.2014
  3. https as a ranking signal googlewebmastercentral.blogspot.de Abgerufen am 29.09.2014

Weblinks

Kategorie