Unsichere Verbindungen

Manchmal sehen Sie auch nur einfach einen Hinweis in Form eines durchgestrichenen Schloss Symbols in Ihrer Browserleiste links der Webseiten-Adresse, wie in folgenden Beispiel dargestellt:

Wenn Sie auf das Schlosssymbol klicken, wird Ihnen je nach Browser folgendes angezeigt:

Eine weitere Variante der Warnung vor unsicheren Websites ist der Hinweis bei der Eingabe eines Formularfeldes:

In gewissen Ländern wird sogar bei den Google-Suchresultaten ein Hinweis darauf ausgegeben, dass die Seite unsicher ist und die Seite wird im Ranking zurückgestuft. So oder so, der Kunde ist beim Besuch der Seite verunsichert. Doch was bedeutet dieser Hinweis eigentlich? In den meisten Fällen weist das darauf hin, dass kein sogenanntes SSL-Zertifikat installiert wurde.

SSL bedeutet "Secure Socket Layer" und das Zertifikat bestätigt, dass diese Verbindung sicher ist, d.h. eine verschlüsselte Verbindung mit dem Server besteht. Zwischen Webserver und Browser werden Schlüssel ausgetauscht, die im sogenannten Handshake abgeglichen werden. Passen die Schlüssel zueinander, wird die Kommunikation verschlüsselt. Die Verschlüsselungsstärke ist meist so hoch, dass sie nur mit riesigem Aufwand zu knacken ist.

Zudem ist es durch ein SSL-Zertifikat (ausser beim Let's Encrypt Zertifikat) nicht mehr möglich vom Anbieter getäuscht zu werden, in dem eine falsche Website vorgegaukelt wird. Denn nur weil z.B. www.sbb.ch in der Adressleiste steht und die Website aussieht wie die der Schweizerischen Bundesbahnen, heisst das noch lange nicht, dass sie wirklich auf der Website der SBB sind. Durch die Modifikation der Hostdatei durch z.B. einen Virus könnten Sie auch auf einer anderen Site gelandet sein, die das Ziel hat Ihre Kreditkartenangaben abzurufen. Im neuen Volksmund wird das als "Pishing" bezeichnet.

Ist eine solches Zertifikat installiert, wird die Domain auch mit einem https:// anstatt einem http:// in der Adresse eingeleitet. Für das Surfen auf einer Webseite besteht kein Sicherheitsrisko, solange Sie keine Daten übermitteln. Wichtig wird die sichere Verbindung erst, wenn Sie ein Formular ausfüllen, sich bei einer Seite als Benutzer anmelden oder sonstige Daten übermitteln. In diesem Fall gelangen Ihre Daten verschlüsselt zum Serverbetreiber.

Es gibt sechs gute Gründe, die die Installation eines solchen Zertiikates für Sie als Website-Betreiber zur Pflicht machen:

1. Keine Abschreckung von Besuchern Ihrer Website bereits vor dem Besuch
2. Das subjektive Wohlbefinden während dem Besuch auf Ihrer Website
3. Die sichere Übertragung der Daten, die Ihre Besucher auf Ihrer Website eingeben
4. Eine schnellere Übertragungsgeschwindigkeit Ihrer Website (aufgund des aktuelleren Protokolls)
5. Keine schlechtere Positionierung in den Suchmaschinen aufgrund des Fehlens des Zertifkates
6. Pflicht gemäss der europäischen Datenschutz-Grundverordnung (DSGVO) für Shops und Formulare, eine ähnliche Gesetzgebung wird wohl auch bald in der Schweiz kommen

Es gibt auch bei diesen, als sicher bezeichneten Verbindungen, beträchtliche Unterschiede:

Das einfachste Zertifikat ist das Let's Encrypt Zertifikat. Dieses wird von der Let’s Encrypt-Zertifizierungsstelle geprüft und sofort freigegeben. Es ist eine sogenannte Domain-Validierung (DV), auch bezeichnet als SSL-Stufe 1. Die tatsächlich dahinter stehende Organisation wird nicht überprüft. Es ist kostenlos im Betrieb und kostet nur den Aufwand der erstmaligen Installation sowie der quartalsmässig notwendigen Erneuerung des Zertifikats, die aber automatisiert werden kann. Doch erzeugt dieses Zertifikat zunehmend Fehler und ist störanfällig, auch vermeidet es keine Pishing-Angriffe. Zudem gibt es erste Gerüchte darüber, dass dieses Zertifikat in absehbarer Zeit nicht mehr von allen Browsern akzepiert wird. Wir installieren dieses Zertifikat unseren Kunden wirklich nur dann, wenn diese über absolut kein Budget verfügen und sich bewusst sind, dass es zu Störungen kommen kann.

Beim Basic SSL Zertifikat handelt es sich ebenfalls um eine Domain-Validierung (DV), auch bezeichnet als SSL-Stufe 1. Zusätzlich wird die Domain in einem E-Mail Prozess verifiziert. Ein E-Mail Robot schickt an die für die Domain registrierte Adresse eine Nachricht, um die Bestellung eines SSL-Zertifikats zu bestätigen. Dieses Zertifikat verhindert jegliche Pishing-Versuche und ist auch nicht störanfällig. Zudem wird dieses Zertifikat auch in Zukunft von den Browsern akzeptiert. Dieses Zertifikat empfehlen wir für Stiftungen, Vereine und Firmen ohne HR-Eintrag.

Beim Business SSL Zertifikat handelt es sich um eine Organisations-Validierung (OV), auch bezeichnet als SSL-Stufe 2. Hierbei wird eine Identitätsprüfung vorgenommen. Die Zertifizierungsstelle prüft den Handelsregistereintrag und allenfalls wird noch telefonisch Kontakt aufgenommen. Eine unabhängige Stelle prüft das Ganze nochmals. Dieses Zertifikat garantiert die sichere Verbindung mit dem Server diese Unternehmens. Dieses Zertifikat empfehlen wir für alle KMU und grösseren Organisationen mit Handelsregistereintrag.

Beim EV SSL Zertifikat handelt es sich um eine Erweiterte (Extended) Validierung (EV), auch bezeichnet als SSL-Stufe 3. Zusätzlich nimmt die Zertifizierungsstelle einen Domaincheck und erweiterte Prüfung der Identität vor. Es wird geprüft, ob der/die AntragstellerIn beim Unternehmen angestellt ist und über die Befugnis verfügt, ein erweitertes SSL-Zertifikat zu erwerben. Dieses Zertifikat wird dann grün hinterlegt mit dem Unternehmensnamen links der Adresse dargestellt und stellt dadurch das höchste Vertrauen sicher. Dieses Zertifikat empfehlen wir allen Unternehmen, denen Sicherheitsaspekte wichtig sind und die damit gleichzeitig auch noch Marketing machen möchten.

Einen guten, noch umfassenderen Artikel zu diesem Thema finden Sie hier.

Die Preise enthalten den kompletten Service inkl. Zertifikatsanfrage, Registrierung, Bestellung und Implementierung.

Bei Interesse für die Installation eines SSL-Zertifikates nehmen Sie bitte Kontakt mit uns auf.