Skip to main content

SSL: Technik, Kosten, Risiken - ein kleiner Streifzug zur Entscheidungsfindung

Die Sensibilisierung zum Datenschutz  hat in der Zeitrechnung nach Snowden zugenommen. Crypto-Parties wurden Populär, die Cloud kam in' die Schlagzeilen, Safe-Harbour wurde gekippt, ... und jetzt kommt auch noch Google!

"Login + Payment mit SSL zu schützen ist ein Must-have, der Rest ist Nice-to-have" ist mittlerweile überholt. SSL bekommt aus verschiedenen Gründen mehr Bedeutung.

Die spontane Session von Bodo enthielt eine kurze Zusammenfassung der Basic-Grundlagen, dem Stand der Technik, den Möglichkeiten bei üblichen Webhostern und vieles mehr.

Weitere Gedanken, Aspekte, Fragen ...

  • Was sind die Unterschiede zwischen Zerttifikaten für 500 EUR pro Jahr oder 30 EUR oder gar kostenlos.
  • Wann wählt man welches SSL-Zertifikat?
  • Was können Kompatibilitätsprobleme mit Browsern sein und was kann man bei der Beschaffung falsch machen?
  • Installation auf dem Server an sich schnell, aber ob sicher?
  • Was tut SSL?
  • CA = AuthAutentität gibt Zertifikate an Kunden (Provider) raus
    |— Hosting Pakete manchmal SSL inkl
    |— versch. Kunden
  • CN = Gruppierung v. Zertifikaten für weitere Ausstellung v. Zeit. an Kunden
  • Zertifikate bestehen aus pub.key + priv.key
    priv.key von CA bleibt geheim, ermöglicht weitere Erzeugung von Schlüsselpaaren bei CN
  • Zertifkat wird von CA unterschrieben/bestätigt , bestätigt ID als Person/Unternehmen (wie ein Ausweis)
  • Vergabe von Zertifikaten u.a. auf: startssl.comthawte.compsw-group.de
  • Verschiedene Arten von SSL-Zertifikaten (Preis!): extended, enterprice, organisations oder wildcard, multidomain etc. … oder organisations-, domain- oder erweitert validiert
  • Unterschiede in Garantie; Qualität in Prüfung der identität/Antragsteller —> Unterschied Einzelperson/'Deutsche Bank' (z.B. bei Anzahl Domains + Gruppierung von TLD’s), techn. Sicherheit = gleich
  • SSL verhindert ManinThe Middle Attacken durch Umleitungen und Manipulation
    bei Einsatz Zertifikat: Browser kennt gängige CA
    ausgenommen Open-Source Lösung (nicht kommerziell) wie www.cacert.org,
    Beispiel Aufruf: www.cacert.org (Browser kennt Zertifikat nicht standardmäßig) oder letsencrypt.org
  • Achtung: bei Einsatz SSL-Zertifikat Gültigkeit beachten!!! Bei Ablauf Zertifikat kein https möglich!!!
  • Einsatz SSL bezeigt Vertrauensbekenntnis seitens des ausstellenden CA: ab wann ist Einsatz SSL bei ‚normalen’ Webseiten sinnvoll?
  • Höhe Vertrauen auf Identität = Höhe Preis, 
    deswegen u.a. SSL-Zertifikate bei Providern im Paket enthalten
  • Nicht vertrauenswürdige Zertifikate können durch Zweifel an der Geheimhaltung des priv.key von CA (‚gehackt/öffentlich bekannt geworden?’, z.B. DigiNotar)
  • Thema SSL-Zertifikate wg. Security und auch SEO aktuell
    Chrome-Browser hat Zertifikat im Code festgeschrieben!!!
    Faktor für SEO: SSL!

Danke an Bodo für den sehr interessanten Einblick in Details.