SSL
SSL steht für (Englisch) Secure Sockets Layer und ist die Standardtechnologie, die eine sicher Verbindung zwischen Client und Server oder Server und Server ermöglicht. Es handelt sich um ein Internetprotokoll, das sensible Daten (z.B. Bezahlinformationen, Kreditkartendaten), die zwischen zwei Systemen übertragen werden, verschlüsselt. So können Dritte die übermittelten Daten nicht auslesen oder manipulieren. Diese verschlüsselte Verbindung wird durch ein sogenanntes SSL-Zertifikat geschaffen. Das Zertifikat taucht als HTTPS-Protokoll in der URL und bestätigt, dass ein Server vertrauenswürdig ist. Der aktuelle Standard einer SSL-Verschlüsselung ist das Transport Layer Security-Protokoll. Man spricht üblicher Weise trotzdem nach wie vor von SSL, denn bei TLS handelt es sich im Grunde um eine aktualisierte, sicherere Version der SSL-Technologie.[1]
Bedeutung von SSL
SSL ist eine Verschlüsselungsmethode für Internetverbindungen. Ausgewiesen wird sie durch das „S“ in HTTPS. Zunächst wurde die Sicherheitstechnologie vor allem für Verbindungen eingeführt, bei denen User einen passwortgeschützten Account haben. Dazu zählen etwa Online-Banking, E-Mails, Online-Shops und soziale Netzwerke. Seit 2018 sind HTTPS-Verbindungen im Rahmen der DSGVO-Einführung Pflicht für alle Webseiten, nicht mehr nur, wenn über die Verbindung sensible Daten gesendet werden.[2], [3] Somit hat die Verschlüsselungstechnik SSL eine sehr hohe Bedeutung für die moderne Internetgesellschaft.
SSL-Zertifikat
Da bei der SSL-Verschlüsselung lediglich die Datenübertragung von Server zu Client geschützt wird, ist es bei Datentransaktionen wie Bezahlungen von Bedeutung, dass der Anbieter identifiziert werden kann. Dies kann mit Hilfe eines SSL-Zertifikats geschehen. Beim User schafft ein solches Zertifikat Vertrauen und kann so die Conversion Rate verbessern.
Inhalt und Funktion
SSL funktioniert, indem es die Daten, die zwischen User und Website oder zwischen zwei Systemen übermittelt werden, nicht auszulesen sind. Das umfasst potentiell sensible Informationen wie Namen, Adressen, Kreditkartennummern oder finanzielle Details. Dabei kommt ein Verschlüsselungsalgorithmus zum Einsatz, der Daten während der Übertragung chiffriert. Dieser Prozess wird auch „SSL Handshake“ genannt und dauert nur wenige Millisekunden: 1. Ein Browser oder Server versucht die Verbindung zu einer SSL-gesicherten Website bzw. zu einem Webserver aufzubauen. 2. Der Browser oder Server fragt bei diesem Webserver nach einer Identifikation. 3. Der Webserver schickt als Antwort eine Kopie seines SSL-Zertifikats an den Server oder Browser zurück. 4. Nun überprüft der Browser oder Server wiederum die Vertrauenswürdigkeit des SSL-Zertifikats - ist diese gegeben, erhält der Webserver das entsprechende Signal. 5. Dieser schickt dann seinerseits eine digital signierte Bestätigung zurück, um die SSL-gesicherte Sitzung zu starten. 6. Die verschlüsselten Daten sind freigegeben und werden zwischen dem Browser oder Server und dem Webserver übertragen. Wenn eine Website mit einem SSL-Zertifikat gesichert ist, wird das in der URL mit dem Akronym HTTPS (Hypertext Transfer Protocol Secure) ausgewiesen. Daneben ist ein Vorhängeschloss erkennbar, das die sichere Datenübertragung signalisiert. Mit einem Klick auf dieses Vorhängeschloss in der Adresszeile kann jeder User sich das verwendete Zertifikat anzeigen lassen. Es liefert Informationen über den Zertifikataussteller und den Inhaber. Zertifikatsaussteller überprüft den Inhaber und kann ihn als vertrauenswürdig ausweisen. Das Zertifikat dient demnach als Beleg dafür, dass es sich bei dem Seiteninhaber um eine real existierende Person handelt. Jedes Zertifikat hat nur begrenzte Gültigkeit - im Schnitt müssen verlangen die Browserbetreiber eine Erneuerung alle 12 Monate.[4] SSL-Zertifikate gibt es in 128-Bit und 256-Bit-Varianten. Letztere gilt aufgrund der höchsten Anzahl von Verschlüsselungsmöglichkeiten als derzeit (Stand: 10/2021) sicherste SSL-Variante für Webbrowser.[5]
Varianten
Nicht jedes Zertifikat ist gleichwertig. Es gibt so genannte Validierungsstufen, die unterschiedliche Dinge validieren und somit unterschiedliche Sicherheitsstufen darstellen: 1. Extended Validation (EV SSL): Eine hohe Sicherheit, wie sie bei Bankverbindungen benötigt wird. Das EV SSL-Zertifikat bekommt ein Unternehmen erst nach einer ausführlichen, erweiterten und vereinheitlichten Überprüfung. Dadurch ist eine Authentifizierung auf hohem Niveau gewährleistet. 2. Organization Validated (OV SSL): Weist den Zertifikatsinhaber als Domaininhaber aus und führt eine Überprüfung der Organisation durch. Mit diesem Zertifikat wird für User ersichtlich, wer die Website betreibt, wodurch das Vertrauen verbessert wird. 3. Domain Validated (DV SSL): Das am schwächsten validierte Zertifikat. Hierbei wird nur überprüft, ob die E-Mail-Adresse der Domain als administrativ gilt. Vor Angriffen wie Phishing schützt diese Validierungsstufe nicht und das Zertifikat ist das am häufigsten missbrauchte.[6]
Unterschiedliche Verschlüsselungen
Eine SSL-Verschlüsselung gewährleistet eine sicherere Verbindung zwischen einem Server und einem Client. Dabei werden Anwendungsprotokolle wie HTTP, IMAP, POP3, SMTP, die unverschlüsselt übertragen werden, gesichert. Hierfür kommen Verschlüsselungsmethoden zu Einsatz, wie
- symmetrische Verschlüsselung (nur ein Schlüssel)
- asymmetrische Verschlüsselung (zwei Schlüssel)
- Hash-Funktion (Fingerprint)
Bei der SSL-Verschlüsselung wird, grob gesagt, überprüft, ob das Gesendete und das Empfangene 100% übereinstimmen.
Unterstützung der Browser
Alle bekannten Standardbrowser – Chrome, Firefox, Safari, Opera und Internet Explorer – unterstützen SSL-Verschlüsselung.
Vor- und Nachteile
- Sensible Vorgänge wie Online-Banking oder -Shopping wären ohne Verschlüsselung nicht möglich.
- Ein SSL-Zertifikat stärkt das Vertrauen potentieller Kunden zum Anbieter, was sich positiv auf Conversion Rate und Kundenbindung auswirkt.
- SSL arbeitet unabhängig vom Betriebssystem. Der verwendete Browser ist (fast) egal und es muss keine zusätzliche Software installiert werden.
- Durch den technologischen Fortschritt gilt die Fälschungsgefahr für SSL-Zertifikate mittlerweile als geringfügig.
Nutzen für SEO
Lange Zeit war die SSL-Verschlüsselung von Websites lediglich ein Sicherheitsfeature, das nur für sensible Bereiche wie den E-Commerce eingesetzt wurde. In Bezug auf die Suchmaschinenoptimierung wurde deshalb meist lediglich auf mögliche Probleme mit Duplicate Content verwiesen. Dies war immer dann gegeben, wenn URLs einer Domain sowohl mit https als auch mit http den gleichen Content auslieferten. Dann hat Google im August 2014 die SSL-Verschlüsselung von Websites offiziell zum Rankingfaktor deklariert.[7] Da HTTPS längst Standard im Web ist, wirkt sich der Rankingfaktor SSL eher mittelbar über das Vertrauen der User auf die SERP-Position aus. Google selbst hat seine Websuche bereits 2011 komplett auf https-Verbindungen umgestellt.
Einzelnachweise
- ↑ Was sind SSL, TLS und HTTPS? digicert. Abgerufen am 30.10.2021
- ↑ A secure web is here to stay Google Security Blog. Abgerufen am 30.10.2021
- ↑ Sind HTTPS, SSL & TLS Pflicht für alle? eBusinessProfi. Abgerufen am 30.10.2021
- ↑ Wichtige Änderung bei der Gültigkeitsdauer von SSL-Zertifikaten (nicht nur bei Safari) AMTANGEE. Abgerufen am 30.10.2021
- ↑ 256 Bit Verschlüsselung SSL.de. Abgerufen am 30.10.2021
- ↑ Forscher knacken SSL-/TLS-Protokoll mit gefälschten Zertifikaten SpringerProfessional. Abgerufen am 30.10.2021
- ↑ HTTPS als Rankingfaktor Google Search Central. Abgerufen am 30.10.2021
Weblinks
- HTTPS, SSL und SEO: Mit Sicherheit besser ranken | Ryte Magazine
- SSL-Zertifikat einrichten: Schritt für Schritt zur verschlüsselten Website | Ryte Magazine
- Mythos: HTTPS ist viel zu langsam | Golem
- Beeinflussen SSL-Zertifikate die Suchmaschinen-Platzierungen? | Neil Patel
- Mehr Performance dank SSL-Zertifikat | SpaceHost