Ein Käuferhandbuch für ein SSL / TLS-Zertifikat

Artikel geschrieben von:
  • Online Business
  • Aktualisiert: Juli 02, 2019

Niemand mag es, wenn man ihm sagt, er MUSS etwas tun. Es ist nur eine menschliche Natur, dagegen zu rebellieren, aber manchmal ist es das Beste, was Sie tun können, wenn Sie sich auf die Lippe beißen und damit umgehen. So ist es bei das HTTPS-Mandat das wurde im letzten Sommer von Google und dem anderen Browserhersteller weitergegeben.

Heutzutage wird jede Website, die noch über HTTP bedient wird, als „Not Secure“ (Nicht sicher) gekennzeichnet. Dabei handelt es sich um ein Epitheton, das Datenverkehr und Conversions gefährdet. Das bedeutet, dass jetzt jede Website ein SSL / TLS-Zertifikat benötigt, das die Migration zu HTTPS erleichtert und die Kommunikation zwischen Ihrer Website und ihren Besuchern sicherstellt.

Seit Juli markiert 2018 alle HTTP-Sites mit "nicht sicher" (Erfahren Sie mehr).

In diesem Handbuch werden die Dinge beschrieben, die Sie beim Kauf eines SSL / TLS-Zertifikats beachten müssen. Wir beginnen mit einem kurzen Überblick über die Technologie, bevor wir uns näher mit den Besonderheiten befassen, die Sie bei der Entscheidung für das richtige Zertifikat für Sie und Ihre Website durcharbeiten müssen.

SSL / TLS 101: Eine Übersicht

Um sicher im Internet kommunizieren zu können, müssen der Server, auf dem sich die Website befindet, und der Client, der versucht, eine Verbindung herzustellen, eine Verschlüsselung verwenden. Verschlüsselung ist ein mathematischer Prozess macht Daten für jedermann außer einer autorisierten Partei unlesbar. Es wird mit Verschlüsselungsschlüsseln durchgeführt, damit Client und Server eine sichere Verbindung herstellen können Beide müssen eine Kopie des gleichen Schlüssels besitzen.

Das stellt jedoch ein Problem dar, wie können Sie diese Schlüssel sicher austauschen? Wenn ein Angreifer einen Verschlüsselungsschlüssel kompromittieren kann, macht er diese Verschlüsselung unbrauchbar, da der Angreifer weiterhin alle ausgetauschten Daten sehen kann, als wären sie im Klartext.

SSL / TLS ist die Lösung für das Schlüsselaustauschproblem.

SSL / TLS bewirkt zwei Dinge:

  1. Es authentifiziert den Server, sodass die Clients wissen, zu welcher Entität sie sich verbinden
  2. Es erleichtert den Austausch eines Sitzungsschlüssels, mit dem sicher kommuniziert werden kann

Das mag ein wenig abstrakt erscheinen, also setzen wir es in Bewegung.

Immer wenn ein Client versucht, über HTTPS eine Verbindung zu einer Website herzustellen - dies ist die sichere Version des Hypertext Transfer Protocol (HTTP) Das Internet wird seit Jahrzehnten genutzt - hinter den Kulissen tritt eine Reihe von Interaktionen zwischen dem Client und dem Server auf, auf dem sich die Site befindet.

Bei der SSL / TLS-Verschlüsselung gibt es zwei Arten von Verschlüsselungsschlüsseln. Es gibt die symmetrischen Sitzungsschlüssel, die wir gerade erwähnt haben. Diese können sowohl ver- und entschlüsseln als auch während der Verbindung selbst kommunizieren. Die anderen Schlüssel sind das öffentliche / private Schlüsselpaar. Diese Form der Verschlüsselung wird als Public Key-Kryptographie bezeichnet. Der öffentliche Schlüssel kann verschlüsseln, der private Schlüssel entschlüsselt.

Zu Beginn wählen Client und Server eine gegenseitig unterstützte Verschlüsselungssammlung aus. Eine Chiffre-Suite ist der Satz von Algorithmen, der die Verschlüsselung regelt, die während der Verbindung verwendet wird.

Sobald eine Verschlüsselungssuite vereinbart wurde, sendet der Server sein SSL-Zertifikat und den öffentlichen Schlüssel. Durch eine Reihe von Prüfungen authentifiziert der Client den Server, überprüft seine Identität und prüft, ob er der rechtmäßige Eigentümer des zugehörigen öffentlichen Schlüssels ist.

Nach dieser Überprüfung generiert der Client einen Sitzungsschlüssel (oder das Geheimnis, aus dem ein Schlüssel abgeleitet werden kann) und verschlüsselt ihn mit dem öffentlichen Schlüssel des Servers, bevor er an den Server gesendet wird. Mit seinem privaten Schlüssel entschlüsselt der Server den Sitzungsschlüssel und die verschlüsselte Verbindung beginnt (dies ist die häufigste Form des Schlüsselaustauschs, wie bei RSA - Der Diffie-Hellman-Schlüsselaustausch unterscheidet sich geringfügig).

Wenn das immer noch etwas kompliziert erscheint, vereinfachen wir es noch weiter.

  • Um sicher kommunizieren zu können, müssen beide Parteien symmetrische Sitzungsschlüssel gemeinsam nutzen
  • SSL / TLS ermöglicht den Austausch dieser Sitzungsschlüssel mit der Verschlüsselung mit öffentlichen Schlüsseln
  • Nach der Überprüfung der Serveridentität wird ein Sitzungsschlüssel oder ein geheimes Schlüssel mit dem öffentlichen Schlüssel verschlüsselt
  • Der Server entschlüsselt mit seinem privaten Schlüssel den Sitzungsschlüssel und beginnt die verschlüsselte Kommunikation

Lassen Sie uns nun darauf eingehen, was Sie als Inhaber einer Website beim Kauf oder Erwerb eines SSL / TLS-Zertifikats beachten müssen.

Was ist beim Kauf eines SSL / TLS-Zertifikats zu beachten?

Wenn Sie ein SSL / TLS-Zertifikat erwerben, entscheiden Sie sich bei zwei Hauptfragen:

  1. Welche Oberfläche müssen Sie bedecken?
  2. Wie viel Identität möchten Sie geltend machen?

Wenn Sie diese Fragen beantworten können, ist die Auswahl eines Zertifikats eine Frage der Marke und der Kosten. Sie wissen bereits, welchen Produkttyp Sie benötigen.

Bevor wir nun weiter gehen, stellen wir eine sehr wichtige Tatsache fest: Unabhängig davon, wie Sie diese beiden Fragen beantworten, bieten alle SSL / TLS-Zertifikate dieselbe Verschlüsselungsstärke.

Die Verschlüsselungsstärke wird durch eine Kombination der unterstützten Cipher Suites und der Rechenleistung von Client und Server an beiden Enden der Verbindung bestimmt. Das teuerste SSL / TLS-Zertifikat auf dem Markt und ein völlig kostenloses Zertifikat werden das gleiche Niveau an Verschlüsselung nach Industriestandard ermöglichen.

Was mit Zertifikaten variiert, ist der Identitätsgrad und ihre Funktionalität.

Beginnen wir mit den zu bedeckenden Flächen.

1-SSL / TLS-Zertifikatfunktionalität

Moderne Websites haben sich weit über das hinaus entwickelt, was sie zu Beginn des Internets waren, wenn Sie immer noch Zähler auf der Unterseite einer Seite setzen, um den Verkehr zu verfolgen. Heutzutage verfügen Organisationen über komplizierte Webinfrastrukturen, sowohl intern als auch extern. Wir sprechen hier von mehreren Domänen, Unterdomänen, Mailservern usw.

Glücklicherweise haben sich SSL / TLS-Zertifikate zusammen mit modernen Websites entwickelt, um sie besser zu schützen. Für jeden Anwendungsfall gibt es einen Zertifikattyp, es ist jedoch erforderlich, dass Sie wissen, wie Ihr Anwendungsfall aussehen wird.

Schauen wir uns die vier verschiedenen SSL / TLS-Zertifikatstypen und ihre Funktionalität an:

  • Einzel Domain - Wie der Name schon sagt, gilt dieses SSL / TLS-Zertifikat für eine einzige Domäne (sowohl die WWW- als auch die Nicht-WWW-Version).
  • Multi-Domain - Diese Art von SSL / TLS-Zertifikat ist für Organisationen mit mehreren Websites gedacht. Sie können bis zu 250 verschiedene Domains gleichzeitig sichern.
  • Wildcard - Sicherheit für eine einzelne Domäne sowie alle dazugehörigen Subdomains der ersten Ebene - so viele wie Sie haben (unbegrenzt).
  • Platzhalter für mehrere Domänen - Ein SSL / TLS-Zertifikat mit voller Funktionalität kann bis zu 250-Domains und alle zugehörigen Subdomains gleichzeitig verschlüsseln.

Ein kurzes Wort zu Wildcard-Zertifikaten. Platzhalter sind außergewöhnlich vielseitig, sie können eine unbegrenzte Anzahl von Unterdomänen verschlüsseln und können sogar neue Unterdomänen sichern, die nach der Ausgabe hinzugefügt werden. Beim Generieren eines Platzhalters wird auf der Unterdomänenebene, die Sie verschlüsseln möchten, ein Stern (manchmal auch als Platzhalterzeichen bezeichnet) verwendet. Dies bedeutet, dass jede Unterdomäne auf dieser URL-Ebene der überprüften Domäne mit dem öffentlichen / privaten Schlüsselpaar des Zertifikats gültig verknüpft ist.

2-SSL / TLS-Zertifikatvalidierungsstufe

Nachdem Sie herausgefunden haben, welche Flächen Sie bedecken müssen, ist es an der Zeit zu bestimmen, wie viel Identität Sie geltend machen möchten. Es gibt drei Validierungsebenen. Diese beziehen sich auf den Umfang der Überprüfung der Zertifizierungsstelle, die Ihr SSL / TLS-Zertifikat ausgibt, und die Ihre Website durchläuft.

Drei Validierungsebenen: Domänenvalidierung, Organisationsvalidierung und erweiterte Validierung.

Die grundlegendste Validierungsebene wird aufgerufen Domain Validation. Es dauert nur wenige Minuten, um diese Überprüfung abzuschließen und das Zertifikat auszustellen, aber es liefert die geringsten Identitätsinformationen - und authentifiziert nur den Server. DV SSL / TLS-Zertifikate werden am häufigsten verwendet. Aufgrund ihrer fehlenden Identität werden Websites, die sie verwenden, neutral behandelt.

Organisationsvalidierung bietet mehr organisatorische Informationen, mit denen die Besucher Ihrer Site eine bessere Vorstellung davon erhalten, mit wem sie es zu tun haben, vorausgesetzt, sie wissen, wo sie suchen müssen. OV-SSL / TLS-Zertifikate erfordern eine mäßige Überprüfung, sie geben jedoch nicht genügend Identität an, um eine neutrale Browser-Behandlung zu vermeiden. OV-SSL-Zertifikate können auch dedizierte IP-Adressen sichern. Sie werden häufig in Unternehmensumgebungen und in internen Netzwerken verwendet.

Die meiste Identität, die ein SSL / TLS-Zertifikat annehmen kann, kommt am Extended Validation Niveau. EV SSL / TLS-Zertifikate müssen von der Zertifizierungsstelle eingehend geprüft werden. Sie geben jedoch genügend Informationen an, die Webbrowser Websites, auf denen sie bereitgestellt werden, eindeutig zuordnen. Dabei wird der überprüfte Organisationsname in der Adressleiste des Browsers angezeigt.

Im Hinblick auf die Validierungsstufen und die Funktionalität ist zu berücksichtigen, dass EV SSL / TLS-Zertifikate niemals mit Wildcard-Funktionalität verkauft werden. Dies liegt an der offenen Natur von Wildcard-Zertifikaten, die wir im letzten Abschnitt besprochen haben.

Zertifizierungsstellen und Preise

Nun, da Sie wissen, WAS Sie brauchen, sprechen wir darüber, wo Sie es erwerben können. Nicht jeder kann gültige SSL / TLS-Zertifikate ausstellen, und unter "gültig" verstehen wir das Vertrauen. Sie müssen eine vertrauenswürdige Zertifizierungsstelle oder Zertifizierungsstelle durchlaufen. Zertifizierungsstellen sind an strikte Branchenanforderungen gebunden und werden regelmäßig überprüft und überprüft. Der Grund dafür liegt in der Funktionsweise von Public Key Infrastructure. PKI ist das Vertrauensmodell, das SSL / TLS zugrunde liegt. Aus diesem Grund kann der Browser eines Benutzers die Authentizität eines bestimmten SSL / TLS-Zertifikats überprüfen und diesem vertrauen.

Während Eintauchen in PKI und Wurzeln Ist dieser Artikel nicht in diesem Artikel, ist es wichtig zu wissen, dass nur vertrauenswürdige Zertifizierungsstellen vertrauenswürdige Zertifikate ausstellen können. Aus diesem Grund können Sie nicht einfach Ihre eigenen ausgeben und selbst signieren. Browser können dem nicht vertrauen, ohne ihre Einstellungen manuell anpassen zu müssen.

Aber welche CA solltest du wählen?

Das hängt davon ab, wonach Sie suchen.

Für viele einfache Websites, die nicht viel Identität beanspruchen müssen, stellt ein kostenloses DV SSL / TLS-Zertifikat aus Lass uns verschlüsseln (oder andere kostenlose Zertifizierungsstellen) ist eine gute Wahl. Es kostet nichts und ist ausreichend für das, was Sie brauchen.

Alles, was sich nördlich davon befindet oder wenn Sie nicht besonders technisch versiert sind, sollten Sie sich an eine kommerzielle Zertifizierungsstelle wie DigiCert, Sectigo, Entrust Datacard usw. wenden.

Aber hier ist die Sache: Sie erhalten nicht die besten Preise, wenn Sie direkt von den zuständigen Behörden einkaufen.

Sie erhalten die beste Kombination aus Preisgestaltung und Auswahl, wenn Sie über einen SSL-Service erwerben, der SSL / TLS-Zertifikate von mehreren Zertifizierungsstellen anbietet. Der Grund dafür ist einfach, diese SSL-Dienste Kaufen Sie Zertifikate von den Zertifizierungsstellen in großen Mengen zu wesentlich niedrigeren Preisen als Einzelhandelskunden. Dadurch können sie die Zertifikate zu stark reduzierten Preisen verkaufen und die Ersparnisse an die Verbraucher weitergeben.

In einigen Fällen können Sie bis zu 85% des empfohlenen Verkaufspreises des Herstellers sparen einen SSL-Dienst durchlaufen, anstatt direkt zu kaufen.

Vergessen Sie nicht, dedizierte SSL-Services in SSL / TLS zu bieten, sie bieten einen besseren Kundensupport, sie können Sie bei der Installation unterstützen und wissen, wie Sie Ihre Implementierungen optimieren, um Ihrer Website die bestmögliche Sicherheit zu bieten.

Vergleichen Sie dies jedoch mit kostenlosen CAs (und sogar einigen kommerziellen), bei denen Sie ein Ticketsystem durcharbeiten oder alte Forenbeiträge nach Crowdsourcing-Support durchsuchen müssen, und der Wert ist klar.

Zugegeben, für einige technisch versierte Website-Besitzer ist das Support-Problem kein Problem. Und wenn Sie wissen, wie Sie alles selbst unterstützen können, ist es absolut nichts Falsches daran, die kostenlose Route zu wählen.

Für andere Websitebesitzer zahlen Sie jedoch weniger für das Zertifikat selbst und mehr für den Support-Apparat, der darum herum gebaut wurde. Sie haben auch keinen Zugriff auf höhere Validierungsstufen (OV / EV) oder erweiterte Funktionen (Multi-Domain, Wildcards) mit kostenlosem SSL / TLS. Sie müssen diese von kommerziellen Zertifizierungsstellen oder SSL-Diensten beziehen.

Also bezahlt oder frei? Es kommt darauf an, wie technisch Sie oder Ihr Unternehmen technisch sind, und ob Sie Funktionalität und Validierung über DV-Einzeldomänen hinaus wollen.

FAQ zum SSL / TLS-Käuferhandbuch

Q1. Lohnt sich Extended Validation?

Für viele Websites ist ein EV SSL / TLS-Zertifikat mehr eine Investition als eine Ausgabe. Es gibt keine andere Möglichkeit, die maximale Identität zu gewährleisten und die bevorzugte Browser-Behandlung für Ihre Website zu erhalten. Wenn Besucher auf einer Website ankommen und der Name der Organisation in der Adressleiste angezeigt wird, hat dies einen tiefgreifenden psychologischen Effekt. Während dieser Effekt auf dem Papier schwer zu quantifizieren ist, stellen Umfragen fest, dass sich die Menschen beim Besuch von Websites mit EV besser fühlen als Websites ohne.

Im Internet zählt jedes bisschen. Wenn Sie also eine Organisation sind, die ihre Identität im Web geltend machen möchte, sind EV SSL / TLS-Zertifikate die beste verfügbare Methode.

Q2. Sie schreiben ständig SSL / TLS, was bedeutet das?

SSL steht für Secure Sockets LayerEs war die ursprüngliche Version des Verschlüsselungsprotokolls, mit der wir bis heute unsere Verbindungen absichern. Wir haben den ganzen Weg zu SSL 3.0 gefunden, bevor Schwachstellen die Branche zurück zum Reißbrett zwangen Transport Layer Security (TLS) wurde als Nachfolger von SSL konzipiert.

Heute sind wir bei TLS 1.3, SSL 3.0 ist fast vollständig veraltet, und 2020 TLS 1.0 und 1.1 werden ebenfalls veraltet sein. Während das heutige Internet fast ausschließlich auf das TLS-Protokoll angewiesen ist, wird es umgangssprachlich als SSL bezeichnet.

Q3. Was sind SSL / TLS-Protokollversionen?

Dies bezieht sich auf unsere letzte Frage: SSL und TLS sind die beiden Protokolle, die HTTPS-Verbindungen ermöglichen, und genau wie bei jeder anderen Technologie müssen diese Protokolle regelmäßig aktualisiert werden, wenn neue Schwachstellen und Angriffe entdeckt werden. Wenn Sie SSL 3.0 oder TLS 1.2 sehen, bezieht sich dies auf eine bestimmte Version der SSL / TLS-Protokolle.

Derzeit wird empfohlen, TLS 1.2 und TLS 1.3 zu unterstützen, da sich herausgestellt hat, dass alle vorherigen Versionen anfällig für einen Exploit waren.

Q4. Was sollte ich über Cipher Suites wissen?

Eine Chiffre-Suite ist eine Sammlung von Algorithmen Dies wird während des SSL / TLS-Verschlüsselungsprozesses verwendet. Sie umfassen typischerweise eine Art Public-Key-Algorithmus, einen Message-Authentication-Algorithmus und einen symmetrischen (Block- / Stream-) Verschlüsselungsalgorithmus.

Bevor Sie eine Entscheidung darüber treffen können, welche Cipher-Suites unterstützt werden sollen, müssen Sie wissen, wozu Ihre Server in der Lage sind, was dazu führen kann, dass Ihre OpenSSL-Bibliothek (oder alternative SSL-Software) auf die modernste Version aktualisiert wird. Ein Ratschlag, Die Verwendung von Elliptic Curve Cryptography ist der RSA vorzuziehen.

Q5. Sind Garantien wichtig?

Es ist schön, mit jedem Produkt eine große Garantie zu haben, und die SSL / TLS-Industrie bietet einige der großzügigsten Garantien auf dem Markt. Sie zahlen sich aus, falls die Zertifizierungsstelle, die Ihr Zertifikat ausgestellt hat, auf ein Problem stößt, das Ihrer Organisation Geld kostet. Zugegeben, das ist nicht alltäglich, was für SSL / TLS-Zertifikate allgemein eine Bestätigung ist, aber auch etwas, worauf wir nicht eingehen sollten.


Patrick Nohe
Über den Autor: Patrick Nohe

Patrick Nohe begann seine Karriere als Schlagreporter und Kolumnist für den Miami Herald. Er dient auch als Content Manager für Der SSL Store ™.

Über WHSR Guest

Dieser Artikel wurde von einem Gastbeitragsteller verfasst. Die nachstehenden Ansichten des Autors sind völlig seine eigenen und spiegeln möglicherweise nicht die Ansichten von WHSR wider.