Der CA Security Council (CASC), eine Interessengruppe, die sich für die Weiterentwicklung von Online-Sicherheit engagiert und der auch GlobalSign 2013 beigetreten ist, hat jüngst eine praktische Infografik unter dem Titel 'Welche Art von SSL/TLS-Zertifikat benötige ich?' veröffentlicht (die komplette Infografik finden Sie am Schluss dieses Posts). Sie gibt einen sehr guten Überblick zu den wichtigsten Optionen und erläutert diese an Beispielen. Trotzdem bleiben oftmals noch Fragen übrig.
Im Folgenden gehen wir die vom CASC vorgeschlagenen Schritte im Einzelnen durch. Dazu erläutern wir weitere Zusammenhänge, die bei der Entscheidungsfindung für das jeweils passende SSL-Zertifikat hilfreich sein können.
Schritt 1 - Ist Ihre Domain registriert?
Bevor Sie ein öffentlich vertrauenswürdiges SSL-Zertifikat erhalten, müssen Sie als erstes Ihre Domain registrieren (d.h. die Art von Domain, die Sie für öffentliche Websites brauchen. Mehr dazu weiter unten). Das ist notwendig, weil Zertifizierungsstellen (Certificate Authorities, CAs), also die Organisationen, die Zertifikate ausstellen, die Domain-Inhaberschaft überprüfen müssen.
Die Registrierung der Domain ist ein wesentlicher Schritt um eine öffentlichen Website einzurichten. Wenn Sie eine solche Website absichern wollen, haben Sie diesen Schritt wahrscheinlich ohnehin schon erledigt und können gleich mit dem zweiten weitermachen.
Was, wenn die Domain nicht registriert ist?
Wenn die Domain nicht registriert ist, sprechen Sie wahrscheinlich von einem internen Servernamen. Ein interner Name ist eine Domain oder IP-Adresse, die Teil eines privaten Netzwerks ist, wie beispielsweise
- Jeder Servername mit einem nicht-öffentlichen Domainnamensuffix (z.B. meinedomain.lokal, meinedomain.intern)
- NetBIOS-Namen oder kurze Hostnamen, alles ohne eine öffentliche Domain
- Jede IPv4-Adresse im RFC 1918-Bereich (z.B. 10.0.0.0, 172.16.0.0, 192.168.0.0)
- Jede IPv6-Adresse im RFC 4193-Bereich
Ab November 2015 ist es CAs untersagt, öffentlich vertrauenswürdige SSL-Zertifikate, die interne Servernamen oder reservierte IP-Adressen enthalten, auszustellen. Kurz gesagt liegt das daran, dass diese Namen nicht eindeutig sind und intern verwendet werden. So hat eine CA keine Möglichkeit zu verifizieren, ob das Unternehmen der Inhaber ist (zum Beispiel haben unter Umständen mehrere Unternehmen ein internes Mail-System unter der Adresse https://mail/). Für weitere Erläuterungen zu den Gefahren von internen Namen in öffentlichen SSL-Zertifikaten lesen Sie bitte unser Whitepaper.
SSL für interne Servernamen
Was können Sie also tun, wenn Sie die Kommunikation zwischen Ihren internen Servern sichern möchten, die interne Servernamen verwenden? Nun, Sie können kein öffentlich vertrauenswürdiges SSL-Zertifikat verwenden. Daher besteht eine Option darin, selbstsignierte Zertifikate zu verwenden, oder eine interne CA (z.B. Microsoft CA) einzurichten und die Zertifikate darüber auszustellen. Obwohl dies sicherlich realisierbare Optionen sind, erfordert der Betrieb Ihrer eigenen CA umfangreiches internes Know-how und kann ziemlich ressourcenintensiv sein.
Einige CAs (wie GlobalSign) bieten Zertifikate an, die genau für diesen Anwendungsfall entwickelt wurden. Da sie von einer nicht-öffentlichen Root ausgestellt werden, müssen diese Zertifikate nicht die gleichen Vorschriften erfüllen, die öffentlichen Zertifikaten auferlegt sind. Sie können demnach auch interne Servernamen und reservierte IP-Adressen enthalten. So lassen sich interne Server sichern, ohne gleich eine eigene CA betreiben oder selbstsignierte Zertifikate ausstellen zu müssen.
Schritt 2 – Welche Vertrauensstufe ist nötig?
Alle SSL-Zertifikate bieten Sitzungssicherheit und verschlüsseln sämtliche Informationen, die über die Website gesendet werden. Aber sie unterscheiden sich in Bezug darauf, wie viel Identitätsinformationen im Zertifikat enthalten sind und wie sie in den unterschiedlichen Browsern angezeigt werden. Es gibt drei Hauptvertrauensstufen für SSL-Zertifikate. Von der höchsten zur niedrigsten sind das: Extended Validation (EV), Organisation Validated (OV) und Domain Validated (DV).
Bei der Entscheidung zwischen den unterschiedlichen Vertrauensstufen ist die wichtigste Frage, die man sich selbst stellen sollte: "Wie viel Vertrauen will man den Besuchern der betreffenden Webseite vermitteln?" Dabei sollte man nicht unberücksichtigt lassen, wie wichtig die Markenidentität für eine Webpräsenz ist. Soll die Marke bereits deutlich in der Browser-Adressleiste präsentiert werden oder einfach nur im Zertifikat selbst enthalten sein? Oder ist die Bindung der Markenidentität an eine Domain vielleicht nur von eher untergeordneter Bedeutung?
Extended Validation (EV)-Zertificate
EV-Zertifikate enthalten die meisten Unternehmensdaten, und Firmen müssen bei dieser Variante die strengsten Anforderungen erfüllen, bevor sie ein solches SSL-Zertifikat erhalten. Hier steht die verifizierte Identität eines Unternehmens im Mittelpunkt und verleiht so der Webseite das höchste Maß an Glaubwürdigkeit: der Name des betreffenden Unternehmens wird deutlich in der grünen Adresszeile angezeigt.
Mit EV-Zertifikat gesicherte Beispiel-Website in Chrome
Dieser markante Sicherheitsindikator versichert Besuchern, dass die Website legitim von Ihrem Unternehmen betrieben wird und sicher ist. Dies erhöht das Vertrauen und führt zu mehr Konversionen.
Organization Validated (OV)-Zertificate
OV-Zertifikate enthalten ebenfalls eine Unternehmensauthentifizierung. Das heißt, es sind Informationen zum jeweiligen Unternehmen enthalten. Im Gegensatz zu EV-Zertifikaten werden diese Informationen allerdings nicht so prominent angezeigt. Um die Identitätsdaten eines Unternehmens zu erkennen, müssen sich die Besucher der Webseite die Zertifikatdetails ansehen.
Beispiel für OV-Zertifikatdetails in Chrome. Sie erkennen die Unternehmensinformationen in der Betreffzeile.
Domain Validated (DV)-Zertificate
DV-Zertifikate sind die einfachste Art von SSL-Zertifikaten. Sie enthalten deutlich weniger Identitätsinformationen im Zertifikat und weisen nur nach, dass der Website-Inhaber die administrative Kontrolle über die Domain nachweisen kann. Während DV-Zertifikate Sitzungsverschlüsselung bieten (sie sind also sicherlich besser als nichts), enthalten sie keinerlei Unternehmensinformationen. In einem DV-SSL-Zertifikat ist nicht dokumentiert, das es für www.unternehmenabc.com ausgestellt wurde, oder das verifiziert, dass die Site tatsächlich vom Unternehmen ABC betrieben wird.
Wir empfehlen deshalb DV-Zertifikate nicht für die geschäftliche Nutzung. Angesichts der zunehmenden Anzahl von Betrüger- und Phishing-Websites, sollten Website-Betreiber SSL-Zertifikate zu verwenden, die Informationen zur Unternehmensidentität enthalten (also OV oder EV). So erkennen Besucher einer Seite sofort die Identität des Domaininhabers.
Schritt 3 – Wie viele Domains müssen Sie mit diesem Zertifikat schützen?
Nur eine – Verwenden Sie ein Standard-Zertifikat
Wenn Sie nur eine Domain sichern müssen (z.B., .beispiel.com), dann sollten Sie auf ein Einzel-Domain- oder Standard-Zertifikat zurückgreifen. Bei der Vertrauensstufe hat man auch hier die Wahl zwischen DV, OV oder EV.
Will man allerdings mehrere Domains (z.B. für regionale Sites wie .com, .co.uk, .de) oder mehrere Sub-Domains (z.B. für Kundenbereiche - sicheres-einloggen.beispiel.com) absichern, sollte man ein Wildcard- oder Multi-Domain-Zertifikat in Betracht ziehen. Ein Zertifikat zu verwenden, das mehrere vollqualifizierte Domainnamen (FQDNs) abdeckt, ist kostengünstiger und einfacher zu verwalten als mehrere einzelne Zertifikate (vor allem, wenn es Zeit für die Erneuerung von Zertifikaten wird).
Mehrere Domains
Will man mehrere Domains (z.B. beispiel.com, beispiel.net, beispiel.de) mit einem Zertifikat sichern, dann sollte man sich für ein Multi Domain-Zertifikat entscheiden. Multi Domain-Zertifikate ermöglichen es mehrere Domain-Namen mit nur einem Zertifikat zu sichern. Die Domains werden als Subject Alternative Names (SANs) im Zertifikat gelistet. Deshalb werden diese Zertifikate auch als SAN-Zertifikate bezeichnet.
Mehrere Sub-Domains
Wenn Sie mehrere Sub-Domains (z.B. login.beispiel.com, kasse.beispiel.com) mit einem Zertifikat sichern möchten, können Sie entweder ein Wildcard- oder ein Multi Domain-Zertifikat verwenden. Welches von ihnen sich im konkreten Einzelfall am besten eignet, hängt von der Anzahl der Sub-Domains ab, die gesichert werden sollen und natürlich von der gewünschten Vertrauensstufe.
Existieren sehr viele Sub-Domains oder will man weitere hinzufügen, sollte man ein Wildcard-Zertifikat in Betracht ziehen. Damit sichern Sie eine unbegrenzte Anzahl von Websites direkt unter der Domain. Wildcard-Zertifikate haben einen Common Name im Format *.beispiel.com. Damit sichert es die oben aufgeführten Beispiele mit einem einzigen Zertifikat. Wildcard-Zertifikate werden von DV- und OV-Produkten unterstützt, die Branchenanforderungen erlauben allerdings keine EV-Wildcard-Zertifikate.
Wenn Sie nur einige wenige Sub-Domains haben, oder wenn Ihre Sites verschiedene Zahlen von Knoten im Domainnamen enthalten (z.B. laden.beispiel.com, laden.de.beispiel.com, laden.europa.beispiel.com), sollten Sie ein Multi-Domain-Zertifikat in Betracht ziehen, das Sub-Domains verwendet. Diese sind im Allgemeinen bei der Unterstützung verschiedener Domainebenen kostengünstiger und flexibler als Wildcard-Zertifikate. Sub-Domain-Zertifikate werden von DV, OV und EV unterstützt.
Und hier noch die komplette Infografik der CACS.