Was ist ein SSL-/TLS-Zertifikat?

SSL/TLS bedeutet Secure Sockets Layer und Transport Layer Security. Es ist eine Protokoll- oder Kommunikationsregel, die es Computersystemen ermöglicht, sicher im Internet miteinander zu kommunizieren. SSL-/TLS-Zertifikate ermöglichen Webbrowsern das Identifizieren und Einrichten verschlüsselter Netzwerkverbindungen zu Websites mithilfe des SSL-/TLS-Protokolls.

Verschlüsselung

Verschlüsselung bedeutet, dass die ursprüngliche Nachricht so verschlüsselt wird, dass sie nur vom vorgesehenen Empfänger entschlüsselt werden kann. Sie ändern beispielsweise das Wort cat in ecv, indem Sie jeden Buchstaben im Alphabet um zwei Stellen nach vorne bewegen. Der Empfänger kennt die Regel (oder den Schlüssel) und kehrt jeden Buchstaben um zwei Stellen um, um das eigentliche Wort zu lesen. Die SSL/TLS-Verschlüsselung baut auf diesem Konzept auf, indem sie Kryptografie mit öffentlichen Schlüsseln verwendet, mit zwei verschiedenen Schlüsseln zum Ver- und Entschlüsseln einer Nachricht. Mit PKI kann eine Partei die Identität einer weiteren Partei mit Zertifikaten nachweisen, wenn beide einer dritten Partei, die als Zertifikatsstelle bezeichnet wird, vertrauen. Die Zertifizierungsstelle überprüft das Zertifikat und authentifiziert beide Parteien, bevor die Kommunikation beginnt.

Es gibt zwei Arten von Schlüsseln:

Öffentlicher Schlüssel

Der Browser und der Webserver kommunizieren, indem sie Informationen mit öffentlichen und privaten Schlüsselpaaren kodieren und dekodieren. Der öffentliche Schlüssel ist ein kryptografischer Schlüssel, den der Webserver dem Browser im SSL/TLS-Zertifikat gibt. Der Browser verwendet den Schlüssel, um die Informationen zu verschlüsseln, bevor sie an den Webserver gesendet werden.

Privatschlüssel

Nur der Webserver hat den privaten Schlüssel. Eine Datei, die mit dem privaten Schlüssel verschlüsselt ist, kann nur mit dem öffentlichen Schlüssel entschlüsselt werden und umgekehrt. Wenn der öffentliche Schlüssel nur die Datei entschlüsseln kann, die mit dem privaten Schlüssel verschlüsselt wurde, stellt die Möglichkeit, diese Datei zu entschlüsseln, sicher, dass der beabsichtigte Empfänger und Absender die sind, für die sie sich ausgeben.

Authentifizierung

Der Server sendet den öffentlichen Schlüssel im SSL/TLS-Zertifikat an den Browser. Der Browser überprüft das Zertifikat einer vertrauenswürdigen dritten Partei. Somit kann überprüft werden, ob der Webserver der ist, für den er sich ausgibt.

Digitale Signatur

Eine digitale Signatur ist eine Nummer, die für jedes SSL/TLS-Zertifikat eindeutig ist. Der Empfänger generiert eine neue digitale Signatur und vergleicht sie mit der Originalsignatur, um sicherzustellen, dass externe Parteien das Zertifikat nicht manipuliert haben, während es über das Netzwerk übertragen wurde.

Ein SSL/TLS-Zertifikat hat eine maximale Gültigkeitsdauer von 13 Monaten. Die Gültigkeit des SSL/TLS-Zertifikats wurde im Laufe der Jahre schrittweise reduziert. Dadurch sollen Sicherheitsrisiken für Unternehmen und Internetnutzer verringert werden. Beispielsweise können nicht vertrauenswürdige Dritte Parteie ein gültiges SSL/TLS-Zertifikat von einer abgelaufenen Domäne verwenden, um eine nicht autorisierte Website zu erstellen. 

Durch die Verkürzung der Gültigkeitsdauer wird die Wahrscheinlichkeit eines Missbrauchs von SSL/TLS-Zertifikaten verringert. Wenn das SSL/TLS-Zertifikat abläuft, erhalten Webbesucher im Browser eine Warnung, dass die Website ungesichert ist. Die Organisation widerruft das alte SSL/TLS-Zertifikat und ersetzt es durch ein erneuertes Zertifikat. Der Erneuerungsprozess muss vor Ablauf des vorherigen Zertifikats stattfinden, um Sicherheitsvorfälle zu vermeiden.

Browser verwenden das SSL/TLS-Zertifikat, um über den SSL/TLS-Handshake eine sichere Verbindung mit dem Webserver herzustellen. Der SSL/TLS-Handshake ist Teil der sicheren Hypertext Transfer Protocol Secure (HTTPS)-Kommunikationstechnologie. Es ist eine Kombination aus HTTP und SSL/TLS. HTTP ist ein Protokoll, das Webbrowser verwenden, um Informationen im Klartext an einen Webserver zu senden. HTTP überträgt unverschlüsselte Daten. Das bedeutet, dass von einem Browser gesendete Informationen von Dritten Parteien abgefangen und gelesen werden können. Browser verwenden HTTP mit SSL/TLS oder HTTPS für eine absolut sichere Kommunikation.

SSL/TLS-Handshake

Der SSL/TLS-Handshake umfasst die folgenden Schritte:

 

1. Der Browser öffnet eine SSL/TLS-Secure-Website und stellt eine Verbindung zum Webserver her.
2. Der Browser versucht, die Authentizität des Webservers zu überprüfen, indem er identifizierbare Informationen anfordert. 
3. Der Webserver sendet das SSL/TLS-Zertifikat, das einen öffentlichen Schlüssel enthält, als Antwort.
4. Der Browser überprüft das SSL/TLS-Zertifikat und stellt sicher, dass es gültig ist und mit der Website-Domain übereinstimmt. Sobald der Browser mit dem SSL/TLS-Zertifikat zufrieden ist, verwendet er den öffentlichen Schlüssel zum Verschlüsseln und Senden einer Nachricht, die einen geheimen Sitzungsschlüssel enthält.
5. Der Webserver verwendet seinen privaten Schlüssel, um die Nachricht zu entschlüsseln und den Sitzungsschlüssel abzurufen. Anschließend wird der Sitzungsschlüssel verwendet, um eine Bestätigungsnachricht zu verschlüsseln und an den Browser zu senden.
6. Jetzt verwenden sowohl der Browser als auch der Webserver denselben Sitzungsschlüssel, um Nachrichten sicher auszutauschen. 

Sitzungs-Schlüssel 

Ein Sitzungsschlüssel sorgt für die verschlüsselte Kommunikation zwischen dem Browser und dem Webserver, nachdem die anfängliche SSL/TLS-Authentifizierung abgeschlossen ist. Der Sitzungsschlüssel ist ein Chiffrierschlüssel für die symmetrische Kryptografie. Die symmetrische Kryptografie verwendet denselben Schlüssel sowohl für die Verschlüsselung als auch für die Entschlüsselung. Asymmetrische Kryptografie beansprucht eine immense Rechenleistung. Daher wechselt der Webserver auf symmetrische Kryptografie, die weniger Berechnungen erfordert, um eine SSL/TLS-Verbindung aufrechtzuerhalten.

SSL/TLS-Zertifikate unterscheiden sich je nach Validierung und Domäne. Zertifikate mit unterschiedlichen Validierungsstufen werden wie folgt klassifiziert:

• Erweiterte Validierungszertifikate
• Von Organisationen validierte Zertifikate
• Von der Domäne validierte Zertifikate

SSL-/TLS-Zertifikate, die verschiedene Domänentypen unterstützen, sind:

• Einzeldomänen-Zertifikat
• Platzhalter-Zertifikat
• Multi-Domänen-Zertifikat

Erweiterte Validierungszertifikate 

Ein erweitertes Validierungszertifikat (EV SSL/TLS) ist ein digitales Zertifikat mit dem höchsten Grad an Verschlüsselung, Validierung und Vertrauen. Bei der Beantragung eines EV SSL/TLS wird eine Organisation oder ein Webinhaber strengen Kontrollen durch Zertifizierungsstellen unterzogen. Dazu gehören die Überprüfung der eigentlichen Geschäftsadresse, der ordnungsgemäße Zertifikatsantrag und die exklusiven Nutzungsrechte der Domäne. 

 

Unternehmen verwenden EV SSL/TLS, um Benutzer vor unbefugten Dritten Parteien zu schützen. Das ist wichtig, wenn das Unternehmen vertrauliche Daten auf der Website verarbeitet, wie Finanztransaktionen und Krankenakten. Ein EV SSL/TLS-Zertifikat enthält Details zur Unternehmensorganisation, die in einem Browser angezeigt werden können.

Zertifikate zur Überprüfung der Organisation

Organisationsvalidierungszertifikate (OV SSL/TLS) stehen in Bezug auf Validierung und Vertrauen nach EV SSL/TLS an zweiter Stelle. Wie EV SSL/TLS müssen Unternehmen bei der Beantragung des OV SSL/TLS einen Überprüfungsprozess durchlaufen. Obwohl der Überprüfungsprozess weniger streng ist, müssen die Antragsteller den Besitz der Domäne gegenüber den Zertifizierungsstellen nachweisen.

Das OV SSL/TLS-Zertifikat enthält validierte Geschäftsinformationen und kann im Browser eingesehen werden. Unternehmen mit direktem Kundenkontakt und kommerzielle Unternehmen verwenden das OV SSL/TLS-Zertifikat, um Vertrauen bei den Kunden aufzubauen. Das OV SSL/TLS bietet eine robuste Verschlüsselung, um den Datenschutz der Kunden beim Surfen im Internet zu schützen. 

Zertifikate zur Domänenvalidierung

Domänenvalidierungszertifikate (DV SSL/TLS) sind digitale Zertifikate mit der niedrigsten Validierung. Die Beantragung kostet auch am wenigsten. Im Gegensatz zu EV-SLLs und OV-SSL/TLS durchlaufen Antragsteller für DV-Zertifikate einen weniger strengen Überprüfungsprozess. Der Antragsteller weist den Domänenbesitz nach, indem er auf eine Bestätigungs-E-Mail oder einen Telefonanruf antwortet.

Ein DV-Zertifikat enthält unvollständige Informationen über die Organisation oder das Unternehmen des Antragstellers. Daher bietet es den Benutzern keine hohe Sicherheit. DV-Zertifikate eignen sich für Informationswebsites wie Blogs. Sie sind nicht ideal für Zahlungs-Gateways, Gesundheitsunternehmen oder andere Websites, die vertrauliche Daten verarbeiten.

SSL/TLS-Zertifikate für eine einzelne Domäne

Ein SSL/TLS-Zertifikat für eine einzelne Domäne ist ein SSL/TLS-Zertifikat, das nur eine Domäne oder Subdomäne schützt. Eine Domäne ist die Haupt-URL oder -Adresse einer Website, wie z. B. amazon.com. Eine Subdomäne ist eine Webadresse mit einer Texterweiterung, die der Hauptdomäne vorangestellt ist, z. B. aws.amazon.com.

Sie können beispielsweise ein SSL/TLS-Zertifikat für eine einzelne Domäne auf http://example.com verwenden. Sie können das Zertifikat für http://example.com und sub.example.com jedoch nicht gleichzeitig verwenden.

Platzhalter-SSL/TLS-Zertifikate

Ein Platzhalter-SSL/TLS-Zertifikat ist ein SSL/TLS-Zertifikat, das eine Domäne und alle ihre Subdomäne schützt. Sie können beispielsweise ein Platzhalter-SSL/TLS-Zertifikat verwenden, um http://example.com, blog.example.com und shop.example.com zu schützen.

Multi-Domänen-SSL/TLS-Zertifikate

Multi-Domänen-Zertifikate werden auch als Unified Communications-Zertifikate bezeichnet. Ein Multi-Domänen-SSL/TLS-Zertifikat bietet SSL/TLS-Schutz für mehrere Domänennamen, die auf demselben oder verschiedenen Servern mit derselben Eigentümerschaft gehostet werden. Sie kaufen beispielsweise ein Multi-Domänen-Zertifikat für http://example1.com, domain2.co.uk, shop.business3.com und chat.message.au.