SSL-Zertifikate: kostenpflichtig oder umsonst?

|

Die 3 bekannten Arten von SSL/TLS -Zertifikaten unterscheiden sich in der Validierungsmethode. Bei dem sogenannten DV-Zertifikat (Domain validated Zertifikat) wird lediglich der Besitz einer Domain überprüft, es verifiziert Sie jedoch nicht als Besitzer eines rechtmäßigen Unternehmens. Das OV-Zertifikat (Organisation validated Zertifikat) wird deutlich eingehender überprüft. Hierbei wird eine manuelle Prüfung des Unternehmens durch die Zertifizierungsstelle (CA) durchgeführt und dadurch die Echtheit des Inhabers der Webseite beglaubigt. Dieses Zertifikat wird vor allem in Firmen und Organisationen, bei denen Kunden sensible Daten angeben müssen, verwendet. Bei den EV-Zertifikaten (Extended validated Zertifikat) durchläuft die Validierung die umfangreichste Prüfung. Neben dem Check der Domain und der Identität des Unternehmens prüft die Zertifizierungsstelle, ob der Antragssteller auch wirklich bei dem angegebenen Unternehmen angestellt und für eine Antragsstellung befugt ist. Diese Prüfung ist deutlich aufwendiger als die reine Unternehmensprüfung und kann wie das OV-Zertifikat nur durch eine Person durchgeführt werden.

Kostenpflichtig oder umsonst? Welches der 3 Zertifikate kostenlos angeboten werden kann, liegt auf der Hand. Aber wo sind die Unterschiede, bzw. Vor- und Nachteile bei einem kostenlosen DV-Zertifikat?

1. Vorsicht Phishing
Die kostenlosen DV-Zertifikate verlocken Kriminelle zu Phishing-Versuchen mittels Fake-Internetseiten. Durch die HTTPS-Verschlüsselung der Login-Seite wird dem Besucher suggeriert, es handle sich um eine vertrauenswürdige Webseite. Die Daten des Webseiteninhabers werden bei kostenlosen Zertifikaten nicht überprüft. Lediglich die gesicherte Datenübertragung wird zur Verfügung gestellt. Bei den kostenpflichtigen DV-Zertifikaten läßt sich zumindest ein Käufer feststellen.

2. Warum eigentlich kostenlos?
Let’s Encrypt ist ein von der gemeinnützigen Internet Security Research Group (ISRG) angebotener Dienst. Hauptsponsoren sind unter anderem die Electronic Frontier Foundation (EFF), die Mozilla Foundation, Akamai, Google Chrome und Cisco Systems. Wie vertrauenswürdig die Sponsoren sind, muß allerdings jeder Nutzer für sich selbst entscheiden. Schenke ich mein Vertrauen einer Organisation, die das Lied der Sponsoren singt?

3. Nicht für alle geeignet?
Bei gewerblichen Webseiten empfiehlt sich ein kostenpflichtiges Zertifikat. Insbesondere dann, wenn es sich um Shopsysteme mit dem Austausch von Zahlungsdaten handelt. Aber auch dann, wenn Besucher ihre persönlichen Daten zu anderen Zwecken übermitteln sollen. Unternehmen, für die das Vertrauen der Besucher essentiell ist, sind mit einem höherwertigen Zertifikat durch die Zertifizierungsstelle versichert. Der Lieferant eines Zertifikates garantiert, daß ein Zertifikat nicht an eine unautorisierte Partei ausgehändigt wird und kommt je nach Produkt auch für die Schäden eines Betruges auf.

4. Nicht für jeden Browser gut
Kostenlose Let’s Encrypt Zertifikate sind zwar in den meisten gängigen Webbrowsern gut funktionsfähig – in einigen Fällen gibt es jedoch Kompatibilitätsprobleme wegen der Vertrauenswürdigkeit der Zertifizierungsstelle, in Zusammenhang mit älteren Browser Versionen.

Ein kostenloses Zertifikat ist ein probates Mittel, um eine Webseite aus Sicht von Google sicher zu gestalten. Nicht in jedem Fall ist dieses jedoch geeignet, um das Vertrauen der Kunden zu festigen. Jeder Webseitenbetreiber sollte daher für sich abwägen, welches Sicherheitslevel für sein Webprojekt sinnvoll ist.