WHITE PAPER: Erste Schritte mit SSL-Zertifikaten White Paper Erste Schritte mit SSL-Zertifikaten Die beste Wahl in Sachen Online-Sicherheit White Paper: Erste Schritte mit SSL-Zertifikaten Erste Schritte mit SSL-Zertifikaten Die beste Wahl in Sachen Online-Sicherheit Inhalt Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 Was ist ein SSL-Zertifikat? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 Wie funktioniert die SSL-Verschlüsselung? . . . . . . . . . . . . . . . . . . . . . . 3 Woher weiß ich, ob eine Website ein gültiges SSL-Zertifikat besitzt? . . . . . . 4 Wo ist die Verwendung eines SSL-Zertifikats sinnvoll? . . . . . . . . . . . . . . . 5 Verschiedene Typen von SSL-Zertifikaten . . . . . . . . . . . . . . . . . . . . . . . 5 Technik verständlich erklärt . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 Fazit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 2 White Paper: Erste Schritte mit SSL-Zertifikaten Einführung Ob Einzelperson oder Unternehmen: Sie sollten Ihre Online-Sicherheit ebenso ernst nehmen wie die physische Sicherheit zuhause oder im Unternehmen. Dadurch fühlen Sie sich nicht nur selbst sicherer; auch die Menschen, die Sie zuhause, im Büro oder auf Ihrer Website besuchen, werden geschützt. Um sicher zu gehen, dass Sie rundum geschützt sind, ist es für Sie wichtig, die potenziellen Risiken zu kennen. In der schnelllebigen Welt der Technologie ist es nicht immer leicht, mit den neuesten Entwicklungen Schritt zu halten. Deshalb ist eine Partnerschaft mit einem angesehenen Unternehmen für Internetsicherheit sehr sinnvoll. Dieser Leitfaden soll die eingesetzte Technologie entmystifizieren und Ihnen die Informationen bereitstellen, die Sie benötigen, um bei der Wahl Ihrer OnlineSicherheitslösung die bestmögliche Entscheidung zu treffen. Ein Glossar der verwendeten Begriffe finden Sie im Abschnitt "Technik verständlich erklärt" am Ende dieses Dokuments. Was ist ein SSL-Zertifikat? Ein SSL-Zertifikat ist eine digitale Computerdatei (oder ein kleines Programm), das zweierlei besondere Funktionen hat: uthentifizierung und Verifizierung: Das SSL-Zertifikat enthält Informationen 1. A über die Echtheit bestimmter Angaben zur Identität einer Person, eines Unternehmens oder einer Website. Besucher Ihrer Website können diese einsehen, indem sie auf das Schloss-Symbol oder das Vertrauenssiegel (z. B. das Norton™ Secured-Siegel) klicken. Die Sicherheitskriterien, mit deren Hilfe Zertifizierungsstellen bestimmen, ob ein SSL-Zertifikat ausgestellt werden muss, sind bei einem Extended Validation (EV)-Zertifikat am strengsten. 2. D atenverschlüsselung: Das SSL-Zertifikat ermöglicht darüber hinaus die Verschlüsselung der Daten. Das heißt, dass vertrauliche Informationen, die über die Website ausgetauscht werden, von niemand anderem als dem vorgesehenen Empfänger abgefangen und gelesen werden können. SSL steht für "Secure Sockets Layer". Dabei handelt es sich um eine Technologie, die eine sichere Sitzungsverbindung zwischen Ihrer Website und dem Webbrowser des Besuchers herstellt, sodass über diese Verbindung alle Mitteilungen verschlüsselt und dadurch sicher übertragen werden. SSL wird außerdem zur sicheren Übertragung von E-Mails, Dateien und anderen Informationen verwendet. Würden Sie jemandem Ihre persönlichen Informationen oder Bankdaten auf der Rückseite einer Postkarte mitteilen? SSL schafft einen sicheren und privaten Kanal für Ihre Kommunikation. Ebenso wie ein Ausweisdokument oder ein Reisepass nur von den Behörden eines Landes ausgestellt werden kann, ist ein SSL-Zertifikat dann am verlässlichsten, wenn es von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt worden ist. Bei der Vergabe von SSL-Zertifikaten folgt die Zertifizierungsstelle sehr strengen Regeln und Richtlinien. Ein gültiges SSL-Zertifikat von einer vertrauenswürdigen Zertifizierungsstelle erhöht das Vertrauen unter Ihren Kunden, Auftraggebern und Partnern. Wie funktioniert die SSL-Verschlüsselung? Auf dieselbe Art und Weise, wie Sie Türen mit einem Schlüssel auf- und zusperren, können Sie auch Ihre Informationen mithilfe von Schlüsseln sichern. Ohne den richtigen Schlüssel lassen sich auch diese Informationen nicht "aufsperren". Jede SSL-Sitzung besteht aus zwei Schlüsseln: • Mit dem öffentlichen Schlüssel werden die Informationen verschlüsselt. • M it dem privaten Schlüssel werden die Informationen wieder entschlüsselt und im lesbaren Originalformat wiederhergestellt. 3 White Paper: Erste Schritte mit SSL-Zertifikaten Das Verfahren: Jedes SSL-Zertifikat, das für eine von einer Zertifizierungsstelle überprüften Entität ausgestellt wird, gilt für einen spezifischen Server und eine spezifische Website-Domäne (Website-Adresse). Wenn ein Benutzer im Browser eine Website-Adresse mit SSL-Zertifikat aufruft, findet ein Handshake zwischen Browser und Server statt. Informationen werden vom Server angefordert – und dem Benutzer im Browser-Fenster angezeigt. Anhand bestimmter Veränderungen können Sie dann erkennen, dass eine sichere Sitzung initiiert wurde – es erscheint beispielsweise ein Vertrauenssiegel. Wenn Sie auf dieses Siegel klicken, können Sie weitere Informationen einsehen, wie z. B. die Gültigkeitsdauer des SSL-Zertifikats, die gesicherte Domäne sowie die ausstellende Zertifizierungsstelle. All diese Elemente bestätigen, dass für diese Sitzung eine sichere Verbindung mit einem eindeutigen Sitzungsschlüssel eingerichtet wurde und die sichere Kommunikation nun beginnen kann. Woher weiß ich, ob eine Website ein gültiges SSL-Zertifikat besitzt? ei einer Standard-Website ohne SSL-Sicherung wird in der Adressleiste des 1. B Browsers "http://" vor der Website-Adresse angezeigt. Dieser Moniker steht für das "Hypertext-Übertragungsprotokoll", über das üblicherweise Informationen im Internet übertragen werden. Bei einer Website, die durch ein SSL-Zertifikat gesichert ist, wird dagegen "https:// " vor der Adresse angezeigt, was für "sicheres HTTP" steht. 2. A ußerdem sehen Sie, je nach Webbrowser, am oberen oder unteren Rand des Browser-Fensters ein Schloss-Symbol. 3. H äufig wird auch auf der Website selbst ein Vertrauenssiegel angezeigt. Symantec™-Kunden verwenden auf ihren Websites das Norton Secured-Siegel. Wenn Sie auf der Seite auf das Norton Secured-Siegel oder das SchlossSymbol klicken, werden Details zum Zertifikat, einschließlich aller von der Zertifizierungsstelle überprüften und bestätigten Unternehmensinformationen, angezeigt. 4. I ndem der Besucher im Browser-Fenster auf das abgeschlossene Schloss oder bestimmte SSL-Vertrauenssiegel wie das Norton Secured-Siegel klickt, kann er den Namen des authentifizierten Unternehmens einsehen. Bei hochsicheren Browsern wird der Name des authentifizierten Unternehmens deutlich sichtbar angezeigt, außerdem wird die Adressleiste grün hinterlegt, sobald ein Extended 4 White Paper: Erste Schritte mit SSL-Zertifikaten Validation (EV)-SSL-Zertifikat erkannt wurde. Stimmen die Informationen nicht überein, wird im Browser eine Fehler- oder Warnmeldung angezeigt. Wo ist die Verwendung eines SSL-Zertifikats sinnvoll? Kurz gesagt verwenden Sie immer dann ein SSL-Zertifikat, wenn Sie Informationen sicher übermitteln möchten. Es folgen einige Beispiele: bsichern der Kommunikation zwischen Ihrer Website und dem Webbrowser • A Ihres Kunden • Absichern der internen Kommunikation im Intranet Ihres Unternehmens • A bsichern der ein- und ausgehenden E-Mail-Kommunikation (oder privater E-Mail-Adressen) in Ihrem Netzwerk • A bsichern von Informationen zwischen (sowohl internen als auch externen) Servern • Absichern von über Mobilgeräte gesendeten und empfangenen Informationen Verschiedene Typen von SSL-Zertifikaten Es gibt heutzutage verschiedene SSL-Zertifikate auf dem Markt: • S elbstsignierte Zertifikate sind der erste Typ von SSL-Zertifikaten. Wie der Name schon sagt, handelt es sich hierbei um Zertifikate, die zu internen Zwecken erzeugt und nicht von einer Zertifizierungsstelle ausgestellt werden. Da der Inhaber der Website ein eigenes Zertifikat erzeugt, ist dieses einem von einer Zertifizierungsstelle vollständig authentifizierten und überprüften SSL-Zertifikat nicht ebenbürtig. • D omänenvalidierte Zertifikate gelten als "Einstiegsversion" der SSL-Zertifikate und können schnell ausgestellt werden. Es wird lediglich verifiziert, ob der Bewerber auch Inhaber der Domäne (Website-Adresse) ist, auf der das Zertifikat verwendet werden soll. Ob der Inhaber der Domäne ein rechtmäßiges Unternehmen ist, wird hingegen nicht weiter überprüft. • E in vollständig authentifiziertes SSL-Zertifikat ist ein erster Schritt in Richtung Online-Sicherheit und Vertrauensbildung. Die Ausstellung dieser Zertifikate dauert etwas länger: Sie werden einem Unternehmen erst gewährt, nachdem eine Reihe von Validierungsverfahren bestanden sind, seine Existenz überprüft, seine Inhaberschaft bestätigt und die Antragungsberechtigung des Benutzers geklärt ist. • Alle Symantec SSL-Zertifikate sind vollständig authentifiziert. • O bwohl SSL-Zertifikate eine 128-Bit- oder 256-Bit-Verschlüsselung bieten, sind einige ältere Browser und Betriebssysteme nicht in der Lage, eine entsprechende Verbindung aufzubauen. Server Gated Cryptography (SGC)fähige SSL-Zertifikate bieten eine 128-Bit- oder 256-Bit-Verschlüsselung für mehr als 99,9 % der Website-Besucher. Ohne ein auf dem Webserver installiertes SGC-Zertifikat werden Betriebssysteme und Browser, die nicht über eine 128-Bit-Verschlüsselung verfügen, nur mit einer 40-Bit- oder 56-Bit-Verschlüsselung geschützt. Benutzer älterer Browserversionen und Betriebssysteme können den Schutz vorübergehend auf 128-Bit-SSLVerschlüsselung erhöhen, wenn sie eine Website mit einem SGC-fähigen SSLZertifikat besuchen. Weitere Informationen über SGC erhalten Sie auf www. symantec.de/ssl-certificates. 5 White Paper: Erste Schritte mit SSL-Zertifikaten • D er Name einer Domäne wird häufig mit verschiedenen Host-Suffixen verwendet. Deshalb können Sie ein Platzhalterzertifikat verwenden, mit dem Sie für jeden beliebigen Host Ihrer Domäne SSL-Sicherheit bieten können – z. B. "host.ihre_domaene.com" (wobei "host" veränderlich ist, während der Name der Domäne konstant bleibt). hnlich wie Platzhalterzertifikate, nur etwas vielseitiger, erlauben SAN (Subject • Ä Alternative Name)-SSL-Zertifikate, das Hinzufügen von mehr als einer Domäne zu einem einzigen SSL-Zertifikat. • C ode Signing-Zertifikate wurden speziell konzipiert, um sicherzustellen, dass die Software, die Sie herunterladen, nicht zwischenzeitlich manipuliert wurde. Viele Internetkriminelle manipulieren online angebotene Software. Sie hängen harmlosen Softwarepaketen, die heruntergeladen werden, beispielsweise Viren oder andere schädliche Programme an. Die Zertifikate sorgen dafür, dass dies nicht geschieht. • E xtended Validation (EV)-SSL-Zertifikate bieten den höchsten Authentifizierungsstandard in der Branche und schaffen das höchste Kundenvertrauen. Wenn Verbraucher eine durch ein EV-SSL-Zertifikat gesicherte Website besuchen, färbt sich die Adressleiste grün (in hochsicheren Browsern) und ein spezielles Feld erscheint, in dem der Name des rechtmäßigen Inhabers der Website sowie der Sicherheitsanbieter, von dem das EV-SSLZertifikat stammt, angezeigt werden. Außerdem werden der Name des Zertifikatinhabers sowie der ausstellenden Zertifizierungsstelle in der Adressleiste angezeigt. Dank dieses optischen Sicherheitsnachweises ist das Vertrauen der Verbraucher in E-Commerce gestiegen. Technik verständlich erklärt Verschlüsselung: Informationen werden so modifiziert, dass niemand außer der Person, für die sie bestimmt sind, sie verwenden kann. Entschlüsselung: Informationen werden in ihr Originalformat "zurück entschlüsselt". Schlüssel: Eine mathematische Formel oder ein Algorithmus, der dazu dient, Ihre Informationen zu ver- oder entschlüsseln. Ebenso wie ein Schloss mit zahlreichen verschiedenen Kombinationen schwieriger zu öffnen ist, ist ein Verschlüsselungsschlüssel umso sicherer, je länger (in Bit gemessen) er ist. Browser: Ein Software-Programm, über das Sie auf das Internet zugreifen können. Beispiele: Microsoft Internet Explorer (IE), Mozilla Firefox, Apple Safari, RockMelt oder Google Chrome. 6 White Paper: Erste Schritte mit SSL-Zertifikaten Fazit In der Online-Geschäftswelt kommt es auf Vertrauen an. Technologische Investitionen, die dazu dienen, die Kunden zu schützen und ihr Vertrauen zu gewinnen, sind ein wichtiger Erfolgsfaktor für Unternehmen, die online tätig sind oder eine E-Commerce-Website betreiben. Der wirksame Einsatz von SSLZertifikaten und die korrekte Platzierung und Verwendung von Vertrauenssiegeln sind bewährte Instrumente beim Aufbau von Kundenvertrauen. Weitere Informationen erhalten Sie auf www.symantec.de/ssl-certificates. 7 White Paper: Erste Schritte mit SSL-Zertifikaten Weitere Informationen Besuchen Sie unsere Website www.symantec.de/ssl-certificates Wenn Sie an weiteren Informationen über Symantec SSL-Zertifikate interessiert sind, rufen Sie uns an unter 0800 128 1000 (kostenlos aus DE) oder 0800 208899 (kostenlos aus AT) oder +41 26 429 7726 oder senden Sie uns eine E-Mail an: [email protected] Um mit einem Produktspezialisten in Deutschland zu sprechen Wählen Sie 0800 128 1000 (kostenlos aus DE) oder 0800 208899 (kostenlos aus AT) oder +41 26 429 7726 Über Symantec Symantec ist einer der weltweit führenden Anbieter auf dem Gebiet der Informationssicherheit, Datenspeicherung und der Systemverwaltung und bietet Unternehmen sowie Privatkunden Lösungen zur Absicherung und Verwaltung ihrer Daten. Unsere Software und Services vermitteln Vertrauen, unabhängig davon, wo Daten verwendet werden oder gespeichert sind. Symantec Corporation Unternehmenszentrale Symantec Deutschland GmbH Wappenhalle Konrad-Zuse-Platz 2-5 D-81829 München www.symantec.de © 2013 Symantec Corporation. Alle Rechte vorbehalten. Symantec, das Symantec-Logo, das Häkchen im Kreis und das Norton Secured-Logo sind Marken oder eingetragene Marken der Symantec Corporation oder ihrer Partnernternehmen in den USA und anderen Ländern. Andere Namen sind möglicherweise Marken ihrer jeweiligen Inhaber.
© Copyright 2024 ExpyDoc