Erste Schritte mit SSL-Zertifikaten

WHITE PAPER:
Erste Schritte mit
SSL-Zertifikaten
White Paper
Erste Schritte mit
SSL-Zertifikaten
Die beste Wahl in Sachen
Online-Sicherheit
White Paper: Erste Schritte mit SSL-Zertifikaten
Erste Schritte mit SSL-Zertifikaten
Die beste Wahl in Sachen Online-Sicherheit
Inhalt
Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
Was ist ein SSL-Zertifikat? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
Wie funktioniert die SSL-Verschlüsselung? . . . . . . . . . . . . . . . . . . . . . . 3
Woher weiß ich, ob eine Website ein gültiges SSL-Zertifikat besitzt? . . . . . . 4
Wo ist die Verwendung eines SSL-Zertifikats sinnvoll? . . . . . . . . . . . . . . . 5
Verschiedene Typen von SSL-Zertifikaten . . . . . . . . . . . . . . . . . . . . . . . 5
Technik verständlich erklärt . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
Fazit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
2
White Paper: Erste Schritte mit SSL-Zertifikaten
Einführung
Ob Einzelperson oder Unternehmen: Sie sollten Ihre Online-Sicherheit ebenso ernst
nehmen wie die physische Sicherheit zuhause oder im Unternehmen. Dadurch
fühlen Sie sich nicht nur selbst sicherer; auch die Menschen, die Sie zuhause, im
Büro oder auf Ihrer Website besuchen, werden geschützt. Um sicher zu gehen,
dass Sie rundum geschützt sind, ist es für Sie wichtig, die potenziellen Risiken zu
kennen. In der schnelllebigen Welt der Technologie ist es nicht immer leicht, mit
den neuesten Entwicklungen Schritt zu halten. Deshalb ist eine Partnerschaft mit
einem angesehenen Unternehmen für Internetsicherheit sehr sinnvoll.
Dieser Leitfaden soll die eingesetzte Technologie entmystifizieren und Ihnen die
Informationen bereitstellen, die Sie benötigen, um bei der Wahl Ihrer OnlineSicherheitslösung die bestmögliche Entscheidung zu treffen. Ein Glossar der
verwendeten Begriffe finden Sie im Abschnitt "Technik verständlich erklärt" am
Ende dieses Dokuments.
Was ist ein SSL-Zertifikat?
Ein SSL-Zertifikat ist eine digitale Computerdatei (oder ein kleines Programm), das
zweierlei besondere Funktionen hat:
uthentifizierung und Verifizierung: Das SSL-Zertifikat enthält Informationen
1. A
über die Echtheit bestimmter Angaben zur Identität einer Person, eines
Unternehmens oder einer Website. Besucher Ihrer Website können diese
einsehen, indem sie auf das Schloss-Symbol oder das Vertrauenssiegel (z. B.
das Norton™ Secured-Siegel) klicken. Die Sicherheitskriterien, mit deren Hilfe
Zertifizierungsstellen bestimmen, ob ein SSL-Zertifikat ausgestellt werden
muss, sind bei einem Extended Validation (EV)-Zertifikat am strengsten.
2. D
atenverschlüsselung: Das SSL-Zertifikat ermöglicht darüber hinaus die
Verschlüsselung der Daten. Das heißt, dass vertrauliche Informationen, die über
die Website ausgetauscht werden, von niemand anderem als dem vorgesehenen
Empfänger abgefangen und gelesen werden können.
SSL steht für "Secure Sockets
Layer". Dabei handelt es sich
um eine Technologie, die eine
sichere Sitzungsverbindung
zwischen Ihrer Website und
dem Webbrowser des Besuchers
herstellt, sodass über diese
Verbindung alle Mitteilungen
verschlüsselt und dadurch
sicher übertragen werden. SSL
wird außerdem zur sicheren
Übertragung von E-Mails, Dateien
und anderen Informationen
verwendet.
Würden Sie jemandem Ihre
persönlichen Informationen oder
Bankdaten auf der Rückseite einer
Postkarte mitteilen?
SSL schafft einen sicheren
und privaten Kanal für Ihre
Kommunikation.
Ebenso wie ein Ausweisdokument oder ein Reisepass nur von den Behörden eines
Landes ausgestellt werden kann, ist ein SSL-Zertifikat dann am verlässlichsten,
wenn es von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt worden ist.
Bei der Vergabe von SSL-Zertifikaten folgt die Zertifizierungsstelle sehr strengen
Regeln und Richtlinien. Ein gültiges SSL-Zertifikat von einer vertrauenswürdigen
Zertifizierungsstelle erhöht das Vertrauen unter Ihren Kunden, Auftraggebern und
Partnern.
Wie funktioniert die SSL-Verschlüsselung?
Auf dieselbe Art und Weise, wie Sie Türen mit einem Schlüssel auf- und zusperren,
können Sie auch Ihre Informationen mithilfe von Schlüsseln sichern. Ohne den
richtigen Schlüssel lassen sich auch diese Informationen nicht "aufsperren".
Jede SSL-Sitzung besteht aus zwei Schlüsseln:
• Mit dem öffentlichen Schlüssel werden die Informationen verschlüsselt.
• M
it dem privaten Schlüssel werden die Informationen wieder entschlüsselt und
im lesbaren Originalformat wiederhergestellt.
3
White Paper: Erste Schritte mit SSL-Zertifikaten
Das Verfahren: Jedes SSL-Zertifikat, das für eine von einer Zertifizierungsstelle
überprüften Entität ausgestellt wird, gilt für einen spezifischen Server und eine
spezifische Website-Domäne (Website-Adresse). Wenn ein Benutzer im Browser
eine Website-Adresse mit SSL-Zertifikat aufruft, findet ein Handshake zwischen
Browser und Server statt. Informationen werden vom Server angefordert – und
dem Benutzer im Browser-Fenster angezeigt. Anhand bestimmter Veränderungen
können Sie dann erkennen, dass eine sichere Sitzung initiiert wurde – es erscheint
beispielsweise ein Vertrauenssiegel. Wenn Sie auf dieses Siegel klicken, können Sie
weitere Informationen einsehen, wie z. B. die Gültigkeitsdauer des SSL-Zertifikats,
die gesicherte Domäne sowie die ausstellende Zertifizierungsstelle. All diese
Elemente bestätigen, dass für diese Sitzung eine sichere Verbindung mit einem
eindeutigen Sitzungsschlüssel eingerichtet wurde und die sichere Kommunikation
nun beginnen kann.
Woher weiß ich, ob eine Website ein gültiges SSL-Zertifikat besitzt?
ei einer Standard-Website ohne SSL-Sicherung wird in der Adressleiste des
1. B
Browsers "http://" vor der Website-Adresse angezeigt. Dieser Moniker steht für
das "Hypertext-Übertragungsprotokoll", über das üblicherweise Informationen
im Internet übertragen werden.
Bei einer Website, die durch ein SSL-Zertifikat gesichert ist, wird dagegen
"https:// " vor der Adresse angezeigt, was für "sicheres HTTP" steht.
2. A
ußerdem sehen Sie, je nach Webbrowser, am oberen oder unteren Rand des
Browser-Fensters ein Schloss-Symbol.
3. H
äufig wird auch auf der Website selbst ein Vertrauenssiegel angezeigt.
Symantec™-Kunden verwenden auf ihren Websites das Norton Secured-Siegel.
Wenn Sie auf der Seite auf das Norton Secured-Siegel oder das SchlossSymbol klicken, werden Details zum Zertifikat, einschließlich aller von der
Zertifizierungsstelle überprüften und bestätigten Unternehmensinformationen,
angezeigt.
4. I ndem der Besucher im Browser-Fenster auf das abgeschlossene Schloss oder
bestimmte SSL-Vertrauenssiegel wie das Norton Secured-Siegel klickt, kann er
den Namen des authentifizierten Unternehmens einsehen. Bei hochsicheren
Browsern wird der Name des authentifizierten Unternehmens deutlich sichtbar
angezeigt, außerdem wird die Adressleiste grün hinterlegt, sobald ein Extended
4
White Paper: Erste Schritte mit SSL-Zertifikaten
Validation (EV)-SSL-Zertifikat erkannt wurde. Stimmen die Informationen
nicht überein, wird im Browser eine Fehler- oder Warnmeldung angezeigt.
Wo ist die Verwendung eines SSL-Zertifikats sinnvoll?
Kurz gesagt verwenden Sie immer dann ein SSL-Zertifikat, wenn Sie Informationen
sicher übermitteln möchten.
Es folgen einige Beispiele:
bsichern der Kommunikation zwischen Ihrer Website und dem Webbrowser
• A
Ihres Kunden
• Absichern der internen Kommunikation im Intranet Ihres Unternehmens
• A
bsichern der ein- und ausgehenden E-Mail-Kommunikation (oder privater
E-Mail-Adressen) in Ihrem Netzwerk
• A
bsichern von Informationen zwischen (sowohl internen als auch externen)
Servern
• Absichern von über Mobilgeräte gesendeten und empfangenen Informationen
Verschiedene Typen von SSL-Zertifikaten
Es gibt heutzutage verschiedene SSL-Zertifikate auf dem Markt:
• S
elbstsignierte Zertifikate sind der erste Typ von SSL-Zertifikaten. Wie der Name
schon sagt, handelt es sich hierbei um Zertifikate, die zu internen Zwecken
erzeugt und nicht von einer Zertifizierungsstelle ausgestellt werden. Da der
Inhaber der Website ein eigenes Zertifikat erzeugt, ist dieses einem von einer
Zertifizierungsstelle vollständig authentifizierten und überprüften SSL-Zertifikat
nicht ebenbürtig.
• D
omänenvalidierte Zertifikate gelten als "Einstiegsversion" der SSL-Zertifikate
und können schnell ausgestellt werden. Es wird lediglich verifiziert, ob
der Bewerber auch Inhaber der Domäne (Website-Adresse) ist, auf der das
Zertifikat verwendet werden soll. Ob der Inhaber der Domäne ein rechtmäßiges
Unternehmen ist, wird hingegen nicht weiter überprüft.
• E
in vollständig authentifiziertes SSL-Zertifikat ist ein erster Schritt in Richtung
Online-Sicherheit und Vertrauensbildung. Die Ausstellung dieser Zertifikate
dauert etwas länger: Sie werden einem Unternehmen erst gewährt, nachdem
eine Reihe von Validierungsverfahren bestanden sind, seine Existenz überprüft,
seine Inhaberschaft bestätigt und die Antragungsberechtigung des Benutzers
geklärt ist.
•
Alle Symantec SSL-Zertifikate sind vollständig authentifiziert.
• O
bwohl SSL-Zertifikate eine 128-Bit- oder 256-Bit-Verschlüsselung bieten,
sind einige ältere Browser und Betriebssysteme nicht in der Lage, eine
entsprechende Verbindung aufzubauen. Server Gated Cryptography (SGC)fähige SSL-Zertifikate bieten eine 128-Bit- oder 256-Bit-Verschlüsselung
für mehr als 99,9 % der Website-Besucher. Ohne ein auf dem Webserver
installiertes SGC-Zertifikat werden Betriebssysteme und Browser, die nicht
über eine 128-Bit-Verschlüsselung verfügen, nur mit einer 40-Bit- oder
56-Bit-Verschlüsselung geschützt. Benutzer älterer Browserversionen
und Betriebssysteme können den Schutz vorübergehend auf 128-Bit-SSLVerschlüsselung erhöhen, wenn sie eine Website mit einem SGC-fähigen SSLZertifikat besuchen. Weitere Informationen über SGC erhalten Sie auf www.
symantec.de/ssl-certificates.
5
White Paper: Erste Schritte mit SSL-Zertifikaten
• D
er Name einer Domäne wird häufig mit verschiedenen Host-Suffixen
verwendet. Deshalb können Sie ein Platzhalterzertifikat verwenden, mit dem
Sie für jeden beliebigen Host Ihrer Domäne SSL-Sicherheit bieten können – z. B.
"host.ihre_domaene.com" (wobei "host" veränderlich ist, während der Name der
Domäne konstant bleibt).
hnlich wie Platzhalterzertifikate, nur etwas vielseitiger, erlauben SAN (Subject
• Ä
Alternative Name)-SSL-Zertifikate, das Hinzufügen von mehr als einer Domäne
zu einem einzigen SSL-Zertifikat.
• C
ode Signing-Zertifikate wurden speziell konzipiert, um sicherzustellen, dass
die Software, die Sie herunterladen, nicht zwischenzeitlich manipuliert wurde.
Viele Internetkriminelle manipulieren online angebotene Software. Sie hängen
harmlosen Softwarepaketen, die heruntergeladen werden, beispielsweise Viren
oder andere schädliche Programme an. Die Zertifikate sorgen dafür, dass dies
nicht geschieht.
• E
xtended Validation (EV)-SSL-Zertifikate bieten den höchsten
Authentifizierungsstandard in der Branche und schaffen das höchste
Kundenvertrauen. Wenn Verbraucher eine durch ein EV-SSL-Zertifikat
gesicherte Website besuchen, färbt sich die Adressleiste grün (in hochsicheren
Browsern) und ein spezielles Feld erscheint, in dem der Name des rechtmäßigen
Inhabers der Website sowie der Sicherheitsanbieter, von dem das EV-SSLZertifikat stammt, angezeigt werden. Außerdem werden der Name des
Zertifikatinhabers sowie der ausstellenden Zertifizierungsstelle in der
Adressleiste angezeigt. Dank dieses optischen Sicherheitsnachweises ist das
Vertrauen der Verbraucher in E-Commerce gestiegen.
Technik verständlich erklärt
Verschlüsselung: Informationen werden so modifiziert, dass niemand außer der
Person, für die sie bestimmt sind, sie verwenden kann.
Entschlüsselung: Informationen werden in ihr Originalformat "zurück
entschlüsselt".
Schlüssel: Eine mathematische Formel oder ein Algorithmus, der dazu dient,
Ihre Informationen zu ver- oder entschlüsseln. Ebenso wie ein Schloss mit
zahlreichen verschiedenen Kombinationen schwieriger zu öffnen ist, ist ein
Verschlüsselungsschlüssel umso sicherer, je länger (in Bit gemessen) er ist.
Browser: Ein Software-Programm, über das Sie auf das Internet zugreifen können.
Beispiele: Microsoft Internet Explorer (IE), Mozilla Firefox, Apple Safari, RockMelt
oder Google Chrome.
6
White Paper: Erste Schritte mit SSL-Zertifikaten
Fazit
In der Online-Geschäftswelt kommt es auf Vertrauen an. Technologische
Investitionen, die dazu dienen, die Kunden zu schützen und ihr Vertrauen zu
gewinnen, sind ein wichtiger Erfolgsfaktor für Unternehmen, die online tätig
sind oder eine E-Commerce-Website betreiben. Der wirksame Einsatz von SSLZertifikaten und die korrekte Platzierung und Verwendung von Vertrauenssiegeln
sind bewährte Instrumente beim Aufbau von Kundenvertrauen.
Weitere Informationen erhalten Sie auf www.symantec.de/ssl-certificates.
7
White Paper: Erste Schritte mit SSL-Zertifikaten
Weitere Informationen
Besuchen Sie unsere Website
www.symantec.de/ssl-certificates
Wenn Sie an weiteren Informationen über Symantec SSL-Zertifikate interessiert
sind, rufen Sie uns an unter 0800 128 1000 (kostenlos aus DE) oder 0800 208899
(kostenlos aus AT) oder +41 26 429 7726 oder senden
Sie uns eine E-Mail an: [email protected]
Um mit einem Produktspezialisten in Deutschland zu sprechen
Wählen Sie 0800 128 1000 (kostenlos aus DE)
oder 0800 208899 (kostenlos aus AT) oder +41 26 429 7726
Über Symantec
Symantec ist einer der weltweit führenden Anbieter auf dem Gebiet der
Informationssicherheit, Datenspeicherung und der Systemverwaltung und bietet
Unternehmen sowie Privatkunden Lösungen zur Absicherung und Verwaltung ihrer
Daten. Unsere Software und Services vermitteln Vertrauen, unabhängig davon, wo
Daten verwendet werden oder gespeichert sind.
Symantec Corporation Unternehmenszentrale
Symantec Deutschland GmbH
Wappenhalle
Konrad-Zuse-Platz 2-5
D-81829 München
www.symantec.de
© 2013 Symantec Corporation. Alle Rechte vorbehalten. Symantec, das Symantec-Logo, das Häkchen im Kreis und das Norton Secured-Logo sind Marken oder eingetragene Marken der Symantec Corporation oder ihrer Partnernternehmen in den USA und anderen Ländern. Andere Namen sind möglicherweise Marken ihrer jeweiligen Inhaber.

Download Report