Was ist ein SSL-/TLS-Zertifikat?

Ein SSL/TLS-Zertifikat ist ein digitales Objekt, das es Systemen ermöglicht, die Identität zu überprüfen und anschließend eine verschlüsselte Netzwerkverbindung zu einem anderen System unter Verwendung des Secure Sockets Layer/Transport Layer Security (SSL/TLS)-Protokolls herzustellen. Zertifikate werden innerhalb eines kryptografischen Systems verwendet, das als PKI (Public Key Infrastructure, Infrastruktur mit öffentlichen Schlüsseln) bezeichnet wird. Mit PKI kann eine Partei die Identität einer weiteren Partei mit Zertifikaten nachweisen, wenn beide einer dritten Partei, die als Zertifikatsstelle bezeichnet wird, vertrauen. SSL/TLS-Zertifikate dienen somit als digitale Personalausweise zur Sicherung der Netzwerkkommunikation, zur Feststellung der Identität von Websites über das Internet sowie Ressourcen in privaten Netzwerken.

Warum sind SSL/TLS-Zertifikate wichtig?

SSL/TLS-Zertifikate schaffen Vertrauen bei den Benutzern der Website. Unternehmen installieren SSL/TLS-Zertifikate auf Webservern, um SSL/TLS-gesicherte Websites zu erstellen. Die Eigenschaften einer SSL/TLS-gesicherten Webseite sind wie folgt:

  • Ein Vorhängeschlosssymbol und eine grüne Adressleiste im Webbrowser
  • Ein https-Präfix für die Website-Adresse im Browser
  • Ein gültiges SSL-/TLS-Zertifikat Sie können überprüfen, ob das SSL/TLS-Zertifikat gültig ist, indem Sie auf das Vorhängeschlosssymbol in der URL-Adressleiste klicken und es erweitern
  • Sobald die verschlüsselte Verbindung hergestellt wurde, können nur der Kunde und der Webserver die gesendeten Daten sehen.

Im Folgenden werden einige Vorteile von SSL/TLS-Zertifikaten aufgeführt.

Schützt private Daten

Browser validieren das SSL/TLS-Zertifikat einer beliebigen Website, um sichere Verbindungen mit dem Website-Server zu starten und aufrechtzuerhalten. Die SSL/TLS-Technologie sorgt für die Verschlüsselung der gesamten Kommunikation zwischen Ihrem Browser und der Website.

Das Vertrauen der Kunden stärken

Internetversierte Kunden verstehen die Bedeutung des Datenschutzes und möchten den Websites, die sie besuchen, vertrauen. Eine SSL/TLS-geschützte Website hat das grüne Vorhängeschlosssymbol, das Kunden als sicher empfinden. SSL/TLS-Schutz hilft Kunden zu wissen, dass ihre Daten geschützt werden, wenn sie sie mit Ihrem Unternehmen teilen.

Unterstützt die Compliance mit gesetzlichen Vorschriften

Einige Unternehmen müssen die Branchenvorschriften zur Vertraulichkeit und zum Schutz von Daten einhalten. Zum Beispiel müssen Unternehmen in der Zahlungskartenbranche den PCI DSS einhalten. PCI DSS ist eine Branchenanforderung für sichere Online-Transaktionen, einschließlich der Sicherung des Webservers mit einem SSL/TLS-Zertifikat. 

SEO verbessern

Große Suchmaschinen haben den SSL/TLS-Schutz zu einem Ranking-Faktor für die Suchmaschinenoptimierung gemacht. Eine SSL/TLS-gesicherte Website wird in der Suchmaschine wahrscheinlich einen höheren Rang einnehmen als eine ähnliche Website ohne SSL/TLS-Zertifikat. Dies erhöht die Anzahl der Besucher von Suchmaschinen auf die SSL-/TLS-geschützte Website. 

Was sind die wichtigsten Prinzipien der SSL/TLS-Zertifikatstechnologie?

SSL/TLS bedeutet Secure Sockets Layer und Transport Layer Security. Es ist eine Protokoll- oder Kommunikationsregel, die es Computersystemen ermöglicht, sicher im Internet miteinander zu kommunizieren. SSL-/TLS-Zertifikate ermöglichen Webbrowsern das Identifizieren und Einrichten verschlüsselter Netzwerkverbindungen zu Websites mithilfe des SSL-/TLS-Protokolls.

Verschlüsselung

Verschlüsselung bedeutet, dass die ursprüngliche Nachricht so verschlüsselt wird, dass sie nur vom vorgesehenen Empfänger entschlüsselt werden kann. Sie ändern beispielsweise das Wort cat in ecv, indem Sie jeden Buchstaben im Alphabet um zwei Stellen nach vorne bewegen. Der Empfänger kennt die Regel (oder den Schlüssel) und kehrt jeden Buchstaben um zwei Stellen um, um das eigentliche Wort zu lesen. Die SSL/TLS-Verschlüsselung baut auf diesem Konzept auf, indem sie Kryptografie mit öffentlichen Schlüsseln verwendet, mit zwei verschiedenen Schlüsseln zum Ver- und Entschlüsseln einer Nachricht. Mit PKI kann eine Partei die Identität einer weiteren Partei mit Zertifikaten nachweisen, wenn beide einer dritten Partei, die als Zertifikatsstelle bezeichnet wird, vertrauen. Die Zertifizierungsstelle überprüft das Zertifikat und authentifiziert beide Parteien, bevor die Kommunikation beginnt.

Es gibt zwei Arten von Schlüsseln:

Öffentlicher Schlüssel

Der Browser und der Webserver kommunizieren, indem sie Informationen mit öffentlichen und privaten Schlüsselpaaren kodieren und dekodieren. Der öffentliche Schlüssel ist ein kryptografischer Schlüssel, den der Webserver dem Browser im SSL/TLS-Zertifikat gibt. Der Browser verwendet den Schlüssel, um die Informationen zu verschlüsseln, bevor sie an den Webserver gesendet werden.

Privatschlüssel

Nur der Webserver hat den privaten Schlüssel. Eine Datei, die mit dem privaten Schlüssel verschlüsselt ist, kann nur mit dem öffentlichen Schlüssel entschlüsselt werden und umgekehrt. Wenn der öffentliche Schlüssel nur die Datei entschlüsseln kann, die mit dem privaten Schlüssel verschlüsselt wurde, stellt die Möglichkeit, diese Datei zu entschlüsseln, sicher, dass der beabsichtigte Empfänger und Absender die sind, für die sie sich ausgeben.

Authentifizierung

Der Server sendet den öffentlichen Schlüssel im SSL/TLS-Zertifikat an den Browser. Der Browser überprüft das Zertifikat einer vertrauenswürdigen dritten Partei. Somit kann überprüft werden, ob der Webserver der ist, für den er sich ausgibt.

Digitale Signatur

Eine digitale Signatur ist eine Nummer, die für jedes SSL/TLS-Zertifikat eindeutig ist. Der Empfänger generiert eine neue digitale Signatur und vergleicht sie mit der Originalsignatur, um sicherzustellen, dass externe Parteien das Zertifikat nicht manipuliert haben, während es über das Netzwerk übertragen wurde.

Wer validiert SSL/TLS-Zertifikate?

Eine Zertifizierungsstelle (CA) ist eine Organisation, die SSL/TLS-Zertifikate an Webbesitzer, Webhosting-Unternehmen oder Unternehmen verkauft. Die Zertifizierungsstelle validiert die Domänen- und Besitzerdetails, bevor sie das SSL/TLS-Zertifikat ausstellt. Um eine Zertifizierungsstelle zu sein, muss eine Organisation bestimmte Anforderungen erfüllen, die vom Betriebssystem-, Browser- oder Mobilgeräteunternehmen festgelegt wurden, und beantragen, als Stammzertifizierungsstelle aufgeführt zu werden. Dies ist wichtig, um Vertrauen unter den Internetnutzern aufzubauen. Amazon Trust Services ist beispielsweise eine Zertifizierungsstelle und kann SSL/TLS-Zertifikate für Websites ausstellen. 

Was ist die Gültigkeitsdauer für das SSL/TLS-Zertifikat?

Ein SSL/TLS-Zertifikat hat eine maximale Gültigkeitsdauer von 13 Monaten. Die Gültigkeit des SSL/TLS-Zertifikats wurde im Laufe der Jahre schrittweise reduziert. Dadurch sollen Sicherheitsrisiken für Unternehmen und Internetnutzer verringert werden. Beispielsweise können nicht vertrauenswürdige Dritte Parteie ein gültiges SSL/TLS-Zertifikat von einer abgelaufenen Domäne verwenden, um eine nicht autorisierte Website zu erstellen. 

Durch die Verkürzung der Gültigkeitsdauer wird die Wahrscheinlichkeit eines Missbrauchs von SSL/TLS-Zertifikaten verringert. Wenn das SSL/TLS-Zertifikat abläuft, erhalten Webbesucher im Browser eine Warnung, dass die Website ungesichert ist. Die Organisation widerruft das alte SSL/TLS-Zertifikat und ersetzt es durch ein erneuertes Zertifikat. Der Erneuerungsprozess muss vor Ablauf des vorherigen Zertifikats stattfinden, um Sicherheitsvorfälle zu vermeiden.

Was ist in einem SSL/TLS-Zertifikat enthalten?

Ein SSL/TLS-Zertifikat enthält die folgenden Informationen. 

  • Domain-Name
  • Zertifizierungsstelle
  • Digitale Signatur der Zertifizierungsstelle
  • Ausstellungsdatum
  • Ablaufdatum
  • Öffentlicher Schlüssel
  • SSL/TLS-Version

TLS bedeutet Transport Layer Security. TLS ist ein Nachfolger und eine Fortsetzung des SSL/TLS-Protokolls Version 3.0. Es gibt nur geringfügige technische Unterschiede zwischen SSL/TLS und TLS. TLS bietet wie SSL/TLS einen verschlüsselten Datenübertragungskanal zwischen einem Browser und dem Webserver. Moderne SSL/TLS-Zertifikate verwenden das TLS-Protokoll anstelle von SSL/TLS, aber SSL/TLS bleibt eine beliebte Abkürzung unter Sicherheitsexperten. Obwohl sie nicht genau dieselben sind, werden die Begriffe SSL und TLS häufig verwendet, um dasselbe zu bedeuten. Sie könnten das kryptografische Verschlüsselungsprotokoll auch als SSL/TLS bezeichnen.

Wie funktioniert ein SSL/TLS-Zertifikat?

Browser verwenden das SSL/TLS-Zertifikat, um über den SSL/TLS-Handshake eine sichere Verbindung mit dem Webserver herzustellen. Der SSL/TLS-Handshake ist Teil der sicheren Hypertext Transfer Protocol Secure (HTTPS)-Kommunikationstechnologie. Es ist eine Kombination aus HTTP und SSL/TLS. HTTP ist ein Protokoll, das Webbrowser verwenden, um Informationen im Klartext an einen Webserver zu senden. HTTP überträgt unverschlüsselte Daten. Das bedeutet, dass von einem Browser gesendete Informationen von Dritten Parteien abgefangen und gelesen werden können. Browser verwenden HTTP mit SSL/TLS oder HTTPS für eine absolut sichere Kommunikation.

SSL/TLS-Handshake

Der SSL/TLS-Handshake umfasst die folgenden Schritte:

 

  1. Der Browser öffnet eine SSL/TLS-Secure-Website und stellt eine Verbindung zum Webserver her.
  2. Der Browser versucht, die Authentizität des Webservers zu überprüfen, indem er identifizierbare Informationen anfordert. 
  3. Der Webserver sendet das SSL/TLS-Zertifikat, das einen öffentlichen Schlüssel enthält, als Antwort.
  4. Der Browser überprüft das SSL/TLS-Zertifikat und stellt sicher, dass es gültig ist und mit der Website-Domain übereinstimmt. Sobald der Browser mit dem SSL/TLS-Zertifikat zufrieden ist, verwendet er den öffentlichen Schlüssel zum Verschlüsseln und Senden einer Nachricht, die einen geheimen Sitzungsschlüssel enthält.
  5. Der Webserver verwendet seinen privaten Schlüssel, um die Nachricht zu entschlüsseln und den Sitzungsschlüssel abzurufen. Anschließend wird der Sitzungsschlüssel verwendet, um eine Bestätigungsnachricht zu verschlüsseln und an den Browser zu senden.
  6. Jetzt verwenden sowohl der Browser als auch der Webserver denselben Sitzungsschlüssel, um Nachrichten sicher auszutauschen. 

Sitzungs-Schlüssel 

Ein Sitzungsschlüssel sorgt für die verschlüsselte Kommunikation zwischen dem Browser und dem Webserver, nachdem die anfängliche SSL/TLS-Authentifizierung abgeschlossen ist. Der Sitzungsschlüssel ist ein Chiffrierschlüssel für die symmetrische Kryptografie. Die symmetrische Kryptografie verwendet denselben Schlüssel sowohl für die Verschlüsselung als auch für die Entschlüsselung. Asymmetrische Kryptografie beansprucht eine immense Rechenleistung. Daher wechselt der Webserver auf symmetrische Kryptografie, die weniger Berechnungen erfordert, um eine SSL/TLS-Verbindung aufrechtzuerhalten.

Was ist AWS Certificate Manager?

AWS Certificate Manager (ACM) ist ein Service, mit dem Sie problemlos öffentliche und private SSL- und TLS-Zertifikate zur Verwendung mit AWS-Services und Ihren internen verbundenen Ressourcen bereitstellen und verwalten können. Durch ACM wird der zeitaufwändige manuelle Prozess des Erwerbs, Hochladens und Erneuerns von SSL-/TLS-Zertifikaten überflüssig. Mit AWS Certificate Manager können Sie schnell ein Zertifikat anfordern, es auf ACM-integrierten AWS-Ressourcen wie Elastic Load Balancing, Amazon-CloudFront-Verteilungen oder APIs auf Amazon API Gateway bereitstellen und AWS Certificate Manager die Handhabung von Zertifikatserneuerungen überlassen. Mit AWS Certificate Manager können Sie auch private Zertifikate für Ihre internen Ressourcen erstellen und den Lebenszyklus der Zertifikate zentral verwalten.

Organisationen verwenden ACM, um die Anwendung, Bereitstellung und Erneuerung von SSL/TLS-Zertifikaten zu vereinfachen. Anstelle des herkömmlichen Prozesses zum Generieren und Senden einer Zertifikatssignieranforderung (Certificate Signing Request, CSR) an eine Zertifizierungsstelle können Sie mit wenigen Klicks ein von ACM verwaltetes SSL/TLS-Zertifikat erstellen. 

Beginnen Sie mit AWS Certificate Manager, indem Sie sich noch heute für ein AWS-Konto anmelden.

Was sind die Arten von SSL/TLS-Zertifikaten?

SSL/TLS-Zertifikate unterscheiden sich je nach Validierung und Domäne. Zertifikate mit unterschiedlichen Validierungsstufen werden wie folgt klassifiziert:

  • Erweiterte Validierungszertifikate
  • Von Organisationen validierte Zertifikate
  • Von der Domäne validierte Zertifikate

SSL-/TLS-Zertifikate, die verschiedene Domänentypen unterstützen, sind:

  • Einzeldomänen-Zertifikat
  • Platzhalter-Zertifikat
  • Multi-Domänen-Zertifikat

Erweiterte Validierungszertifikate 

Ein erweitertes Validierungszertifikat (EV SSL/TLS) ist ein digitales Zertifikat mit dem höchsten Grad an Verschlüsselung, Validierung und Vertrauen. Bei der Beantragung eines EV SSL/TLS wird eine Organisation oder ein Webinhaber strengen Kontrollen durch Zertifizierungsstellen unterzogen. Dazu gehören die Überprüfung der eigentlichen Geschäftsadresse, der ordnungsgemäße Zertifikatsantrag und die exklusiven Nutzungsrechte der Domäne. 

 

Unternehmen verwenden EV SSL/TLS, um Benutzer vor unbefugten Dritten Parteien zu schützen. Das ist wichtig, wenn das Unternehmen vertrauliche Daten auf der Website verarbeitet, wie Finanztransaktionen und Krankenakten. Ein EV SSL/TLS-Zertifikat enthält Details zur Unternehmensorganisation, die in einem Browser angezeigt werden können.

Zertifikate zur Überprüfung der Organisation

Organisationsvalidierungszertifikate (OV SSL/TLS) stehen in Bezug auf Validierung und Vertrauen nach EV SSL/TLS an zweiter Stelle. Wie EV SSL/TLS müssen Unternehmen bei der Beantragung des OV SSL/TLS einen Überprüfungsprozess durchlaufen. Obwohl der Überprüfungsprozess weniger streng ist, müssen die Antragsteller den Besitz der Domäne gegenüber den Zertifizierungsstellen nachweisen.

Das OV SSL/TLS-Zertifikat enthält validierte Geschäftsinformationen und kann im Browser eingesehen werden. Unternehmen mit direktem Kundenkontakt und kommerzielle Unternehmen verwenden das OV SSL/TLS-Zertifikat, um Vertrauen bei den Kunden aufzubauen. Das OV SSL/TLS bietet eine robuste Verschlüsselung, um den Datenschutz der Kunden beim Surfen im Internet zu schützen. 

Zertifikate zur Domänenvalidierung

Domänenvalidierungszertifikate (DV SSL/TLS) sind digitale Zertifikate mit der niedrigsten Validierung. Die Beantragung kostet auch am wenigsten. Im Gegensatz zu EV-SLLs und OV-SSL/TLS durchlaufen Antragsteller für DV-Zertifikate einen weniger strengen Überprüfungsprozess. Der Antragsteller weist den Domänenbesitz nach, indem er auf eine Bestätigungs-E-Mail oder einen Telefonanruf antwortet.

Ein DV-Zertifikat enthält unvollständige Informationen über die Organisation oder das Unternehmen des Antragstellers. Daher bietet es den Benutzern keine hohe Sicherheit. DV-Zertifikate eignen sich für Informationswebsites wie Blogs. Sie sind nicht ideal für Zahlungs-Gateways, Gesundheitsunternehmen oder andere Websites, die vertrauliche Daten verarbeiten.

SSL/TLS-Zertifikate für eine einzelne Domäne

Ein SSL/TLS-Zertifikat für eine einzelne Domäne ist ein SSL/TLS-Zertifikat, das nur eine Domäne oder Subdomäne schützt. Eine Domäne ist die Haupt-URL oder -Adresse einer Website, wie z. B. amazon.com. Eine Subdomäne ist eine Webadresse mit einer Texterweiterung, die der Hauptdomäne vorangestellt ist, z. B. aws.amazon.com.

Sie können beispielsweise ein SSL/TLS-Zertifikat für eine einzelne Domäne auf http://example.com verwenden. Sie können das Zertifikat für http://example.com und sub.example.com jedoch nicht gleichzeitig verwenden.

Platzhalter-SSL/TLS-Zertifikate

Ein Platzhalter-SSL/TLS-Zertifikat ist ein SSL/TLS-Zertifikat, das eine Domäne und alle ihre Subdomäne schützt. Sie können beispielsweise ein Platzhalter-SSL/TLS-Zertifikat verwenden, um http://example.com, blog.example.com und shop.example.com zu schützen.

Multi-Domänen-SSL/TLS-Zertifikate

Multi-Domänen-Zertifikate werden auch als Unified Communications-Zertifikate bezeichnet. Ein Multi-Domänen-SSL/TLS-Zertifikat bietet SSL/TLS-Schutz für mehrere Domänennamen, die auf demselben oder verschiedenen Servern mit derselben Eigentümerschaft gehostet werden. Sie kaufen beispielsweise ein Multi-Domänen-Zertifikat für http://example1.com, domain2.co.uk, shop.business3.com und chat.message.au

SSL-Zertifikat – Nächste Schritte mit AWS

Zusätzliche produktbezogene Ressourcen ansehen
Weitere Informationen über SSL-Zertifikat-Services 
Für ein kostenloses Konto registrieren

Sie erhalten sofort Zugriff auf das kostenlose Kontingent von AWS. 

Registrieren 
Beginnen Sie mit der Entwicklung in der Konsole

Beginnen Sie mit dem Entwickeln mit der AWS-Hybrid-Cloud in der AWS-Managementkonsole.

Anmelden