Webseiten verschlüsseln

Kostenlose Zertifikate für Unternehmen

von - 19.10.2016
HTTPS
Foto: Shutterstock / Pavel Ignatov
Let’s Encrypt vergibt  Gratis-Zertifikate für die Verschlüsselung von Webseiten. Dies soll Seitenbetreiber dazu bewegen, ihre Seiten mit SSl/TLS-Technologie abzusichern. Und wo ist der Haken daran?
Für Unternehmen gibt es zahlreiche Gründe, warum sie ihre Webseiten schützen sollten. Neben der verschlüsselten Datenübertragung dürfte auch Google ein starkes Argument für die Nutzung einer Verschlüsselung sein: Im Rahmen der Kampagne HTTPS Everywhere hat der Konzern angekündigt, dass Webseiten mit aktiver, starker Verschlüsselung im Ranking bevorzugt behandelt werden. Wer sich also gegenüber den Mitbewerbern absetzen will, muss sich zwangsläufig mit dem Thema Verschlüsselung beschäftigen und seine Seiten absichern.
Matthias Simonis
Sicherheitsexperte beim eco-Verband
Foto: Foto: eco
„Google lässt Verschlüsselung
positiv in sein Ranking
einfließen und hat uns somit das beste Argument für die Webseiten­verschlüsselung
gegeben.“
Die Verschlüsselung von Webseiten ist ein kompliziertes Thema: Eigentlich weiß jedes Unternehmen, dass es seine Webseiten mit dem Protokoll SSL (Secure Sockets Layer) beziehungsweise dem Nachfolgeprotokoll TLS (Transport La­yer Security) verschlüsseln sollte. Doch sowohl die anspruchsvolle Technik wie auch undurchsichtige Preismodelle der entsprechenden Zertifizierungsstellen schrecken viele Unternehmen ab. Das Projekt Let’s Encrypt geht beide Probleme ganz praktisch an: Nicht nur sind dessen Zertifikate kostenlos, es fließt auch viel Know-how in die möglichst einfache Integration der Zertifikate auf den Webservern.

Wer steckt hinter Let’s Encrypt?

Vor allem das „Kostenlos“ klingt eigentlich zu gut, um wahr zu sein. Normalerweise fallen für SSL-Zertifikate je nach Umfang bis zu mehrere Hundert Euro pro Jahr an. Let’s Encrypt ist jedoch zu 100 Prozent seriös: Es wurde 2012 von zwei Mozilla-Mitarbeitern sowie der Electronic Frontier Founda­tion (EFF) und der University of Michigan gestartet. Inzwischen haben sich die Macher in der Non-Profit-Organisation Internet Security Research Group zusammengeschlossen. Auch konnte das Projekt zahlreiche prominente Unterstützer gewinnen, dazu gehören etwa Akamai Technologies, Cisco Systems, Gemalto und Facebook.

Zertifikate: Domain Validation und Extended Validation

Let’s Encrypt bietet sogenannte Domain-Validation-Zertifikate (DV). Diese bestätigen dem Besucher einer Webseite, dass die angezeigten Inhalte tatsächlich von der aufgerufenen Seite stammen.

Domain-Validation-Zertifikate bestätigen allerdings nicht die Identität des Seitenbetreibers, das übernehmen sogenannte Extended-Validation-Zertifikate (EV).

Beide Varianten unterscheiden sich in ihrer Zielsetzung: DV-Zertifikate zielen auf die Integration der Inhalte. Das merken Nutzer vor allem dann, wenn Inhalte von einer nicht verschlüsselten dritten Seite nachgeladen werden – der Browser meldet dann „Unsichere Inhalte“. Optisch können Anwender ein DV- Zertifikat an einem grünen Schloss in der Adressleiste erkennen.

EV-Zertifikate setzen voraus, dass sich der Empfänger des Zertifikats gegenüber der ausgebenden Stelle einwandfrei identifiziert. Die Zertifikate bestätigen den Nutzern nicht nur, dass die Inhalte nicht manipuliert wurden, sondern auch, dass der Seitenanbieter bekannt ist.

EV-Zertifikate werden etwa beim Online-Banking verwendet. Optisch sind sie in aktuellen Browsern durch eine grün gefärbte Adressleiste erkennbar. EV-Zertifikate erfordern mehr Aufwand bei der ausgebenden Stelle und sind meistens deutlich teurer als DV-Zertifikate.

Der große Vorteil von Let’s Encrypt ist, dass das Projekt mittlerweile als sogenannte Root CA (Certificate Authority, Zertifikatsautorität) anerkannt ist. Das heißt, die Zertifikate wurden von einer anderen Zertifikatsautorität, in diesem Fall IdenTrust, gegengezeichnet und damit als legitim bestätigt. Browser werfen also keine Fehlermeldung aus, wenn man eine mit einem Let’s-Encrypt-Zertifikat verschlüsselte Webseite öffnet.
Verwandte Themen