SSL-Verschlüsselung erklärt

Kategorie: Internet Tipps

SSL ist die Abkürzung für Secure Sockets Layer und sorgt für eine verschlüsselte Übertragung der Daten. Eine verschlüsselte Domains erscheint jetzt mit dem Zusatz https und einem grünem Schloss vor dem Domainnamen. Die Website ist nun gegen Angriffe von außen gesichert.

Inhalt

Bei einer unverschlüsselten http-Verbindung ist es möglich, die über diese Verbindung gesendeten Daten zu erfahren. So werden beispielsweise bei einem Onlineshop Kreditkartendaten oder Bankverbindungen gesendet, die bei einer einfachen http-Verbindung nicht hunderprozentig gegen Spionage gesichert sind.

Mit HTTPS verschlüsselte Internetseiten, genießen bei den Usern ein höheres Vertrauen und werden von den Suchmaschinen meist besser bewertet.

SSL-Zertifikat beantragen

Zunächst einmal muss das SSL-Zertifikat durch eine Zertifikatsignierungsanforderung beantragt werden.

Die Zertifikatsignierungsanforderung (Certificate Signing Request CSR) besteht aus Informationen, die von der Zertifizierungsstelle (Certificate Authority CA) benötigt werden, um ein gültiges Zertifikat auszustellen. Die CSR enthält den genauen Domainnamen, den Namen der Firma oder des Domaininhabers, den Zweck der Website, die Stadt, das Land und den Ländercode der Internetseite, für die das Zertifikat gültig sein soll. Die Zertifizierungsstelle prüft diese Daten und stellt dann das Zertifikat aus.

SSL Zertifikat Infografik

Das durch digitale Unterschrift beglaubigte Zertifikat beinhaltet unter anderem das Gültigkeitsdatum und den öffentlichen Schlüssel (Public Key).

Website Verschlüsselung erklärt

Ein User U ruft die Website W https://www.cba987.de in seinem Browser auf. Der Browser stellt eine verschlüsselte Anfrage an der Server der Website W. Der Server der Website W sendet dann das Zertifikat an den Browser von U. Dieses Zertifikat beinhaltet unter anderem den Public Key (öffentlichen Schlüssel).

Infografik Server übermittelt Public Key

Der Browser schickt dann den vom Server der Website erhaltenen Public Key zur Überprüfung an die Zertifizierungsstelle (CA). Dort wird überprüft, ob der Schlüssel zum Schloss der Website W passt. Wenn der Schlüssel passt, gibt die CA dem Browser grünes Licht, die Website zu verschlüsseln. Das verwendete Protokoll ist nun https und vor dem Domainnamen sieht man ein Schloss.

Website Verschlüsselung Infografik

Kein grünes Schloss in der Browserzeile

Trotz erfolgreicher Verschlüsselung, erscheint manchmal kein grünes Schloss vor der Browserzeile, obwohl auch das Protokoll auf https umgestellt wurde. In den meisten Fällen handelt es sich dabei um Mixed Content. Dann werden Ressourcen aus Quellen mit einer unverschlüsselten http-Verbindung geladen. Oft handelt es sich um Grafiken, die per http-Verbindung eingebunden sind.

Das häufigste Beispiel ist, dass die Seite http://www.cba987.de auf https://www.cba987.de umgestellt wurde, aber einige Grafiken noch von http://www.cba987.de geladen werden. Es genügt dann, die Pfade dieser Grafiken auf https://www.cba987.de umzuändern..

Bei größeren Webseiten ist das Problem nicht so einfach zu lokalisieren. Im Internet gibt es dafür einige Tools, die die Fehlersuche erleichtern. Auf der Seite Why No Padlock die zu untersuchende URL eingeben und es wird festgestellt, warum kein Padlock (Schloss) vor der Browserzeile erscheint.

Schritt für Schritt erklärt, funktioniert diese Bereinigung so:

1. Vor der Browserzeile erscheint, trotz https-Protokoll, im Firefox kein grünes Schloss. Die Verbindung ist also nicht zu 100 Prozent sicher.

2. Um den Fehler zu finden, auf die Website gehen www.whynopadlock.com gehen und die URL eingeben.

3. Es wird Mixed-Content festgestellt. Eine Grafik ist mit http statt https eingebunden.

4. Den Pfad der Grafik im Template auf https ändern.
5. Nach der Änderung, die Seite erneut überprüfen. Wird das grüne Schloss angezeigt, ist die Website verschlüsselt.

Vorteile von HTTPS

  • Eine HTTPS Verbindung ist sicher. Die Kommunikation ist gegen Spionage geschützt und eine Manipulation der Daten wird verhindert.
  • Meist besseres Ranking bei Google. Mit SSL verschlüsselte Seiten werden in den Suchergebnissen tendenziell bevorzugt.
  • Moderne Browser signalisieren, ob eine Website verschlüsselt ist. User werden durch die Warnmeldung abgeschreckt, die bei nicht verschlüsselten Webseiten in der Browserzeile zu sehen ist.