04/17 2015

Checkliste: Wann ist das SSL Zertifikat notwendig?

In der Praxis kommt immer wieder die Frage auf, wann ein eigenes SSL Zertifikat notwendig ist. Es gibt zwar klare Argumente, die den Nutzen vom Einsatz von SSL/TLS für den Web-Traffic untermauern, jedoch besteht je nach Anwendungszenario ein Ermessensspielraum. Folgende Checkliste soll Ihnen dabei helfen, zu beurteilen, ob es Sinn macht, ein SSL Zertifikat zu nutzen.

Wozu überhaupt ein SSL Zertifikat?

Ein SSL Zertifikat ist notwendig, wenn Sie eine vertrauenswürdige, abgesicherte Verbindung zu Ihrer Webseite über HTTPS und eine SSL/TLS Verschlüsselung anbieten möchten. Das SSL Zertifikat wird dazu auf Ihrem Webserver eingerichtet.

Die Ausstellung vom SSL Zertifikat übernimmt eine Drittpartei: Die sogenannte Certification Authority (CA). Beispiele für CAs sind Thawte, Commodo, GeoTrust und weitere. Die Rolle CA ist wichtig: Web-Browser aber auch die SSL/TLS Module von Betriebssystemen werden mit einer Liste unterstützter und als vertrauenswürdig erachteter CAs ausgeliefert. Ein gültiges und von einer CA signiertes SSL Zertifikat ist Voraussetzung dafür, dass der Web-Browser ohne Warnmeldung an den Nutzer eine HTTPS-Verbindung aufbaut.

Grundsätzlich ist es auch möglich selbstsignierte SSL Zertifikate zu generieren. Nachteil hierbei: Da keine CA als vertrauenswürdige Instanz eintritt, weißen Browser die Verbindung standardmäßig zurück. Selbstsignierte SSL Zertifikate sind für produktive, öffentliche Webseiten daher keine Option.

Fazit also: Ein eigenes SSL Zertifikat ist dafür notwendig, eine gesicherte Verbindung über HTTPS auf der eigenen Webseite anzubieten, die von den gängigen Browsern akzeptiert wird.

Als kostengünstige Einsteiger-Option ist die Nutzung von einem SSL Proxy möglich. Hier nutzen Sie ein SSL Zertifikat, was Ihr Webhosting Anbieter für alle Kunden eingerichtet hat. Wesentlicher Nachteil: Ihre Webseite ist dann nicht unter der eigenen Domain abrufbar.

Checkliste: Wann ist ein eigenes SSL Zertifikat notwendig?

Wann ist ein SSL Zertifikat notwendig?Grundlagen HTTPS mit eigenem SSL Zertifikat

Wenn Sie ein eigenes SSL Zertifikat einrichten und Ihre Seite über HTTPS verfügbar machen, bestehen zwei wesentliche Vorteile, die in den Bereich Sicherheit, Datenschutz und Privatsphäre spielen:

  • Es findet eine Authentifizierung zwischen Client und Server statt. Dem Client (in der Praxis: Web-Browser) wird dabei die Möglichkeit bereitgestellt, zu überprüfen, ob er wirklich mit dem richtigen Ziel-Server kommuniziert. Dritten die Verbindung nicht ohne weiteres kapern und umleiten, wie das bei HTTP möglich ist.
  • Für den Datenverkehr greift die SSL/TLS Verschlüsselung. Dadurch werden effektive Maßnahmen ergriffen, die verhindern, dass Dritte den Inhalt das Datenverkehr zwischen Client und Server belauschen und mitlesen können.

Wenn die Frage lautet, wann ein SSL Zertifikat notwendig ist, kann also geantwortet werden: Immer dann, wenn sensible Daten zwischen Server und Client ausgetauscht werden. Hier sorgt HTTPS mit eigenem SSL Zertifikat für mehr Sicherheit dank Authentifizierung und SSL/TLS Verschlüsselung.

Tipp: SSL Webhosting ist mittlerweile günstig zu haben, so dass das Budget im Regelfall nicht die Restriktion sein sollte. Wenn Sie zum Schluss kommen, dass ein SSL Zertifikat notwendig für Ihr Projekt ist, empfehlen wir Ihnen folgendes Angebot:

Profi-Webhosting mit eigenem SSL Zertifikat ab 3,95 € im Monat

Wann das eigene SSL Zertifikat notwendig ist: Checkliste

Eine Liste mit Anwendungsszenarien, in denen die Verwendung von HTTPS ratsam ist, kann niemals vollständig sein. Ob Sie ein SSL Zertifikat nutzen sollten, muss deshalb individuell für Ihr Web-Projekt, die ausgetauschten Informationen und mögliche Bedrohungszenarien beantwortet werden. Die folgende Checkliste dient demnach nur der Orientierung.
  • Abwicklung von Online-Zahlungen: Zahlungen gelten als besonders sensible Transaktionen und sollten grundsätzlich mit Verschlüsselungsverfahren abgewickelt werden. Im Falle der Verarbeitung von Kreditkarten sind entsprechende Verfahren in der PCI-DSS Richtlinie vorgeschrieben.
  • Persönliche Nutzerdaten: Sofern auf Ihrer Webseite personenbezogene Daten verarbeitet werden, empfiehlt sich ebenfalls stets auf SSL/TLS-Verschlüsselung zurückzugreifen. Mögliche Anwendungsszenarien:
    • Nutzerkonten und Loginverfahren
    • Newsletterregistrierungen und sonstige Lead-Generierung
    • Kundenkonto und Bestellverfahren
    • Sonstige Verfahren, bei denen sensible Daten erhoben werden
  • Allgemeiner Informationsschutz: Allgemein hat ein Trend eingesetzt, von der gezielten Absicherung einzelner Transaktionen auf einen ganzheitlichen Ansatz, den gesamten Web-Traffic einer Webseite zu verschlüsseln, zu wechseln. Im Fokus steht ein steigendes Bedürfnis nach Anonymität bezüglich dem eigenen Surfverhalten der Nutzer. Gestärkt wird dies auch dadurch, dass die Suchmaschine Google HTTPS als Rankingsignal wertet.

Wir empfehlen: Bewerten Sie anhand geeigneter Kriterien selbst, ob ein eigenes SSL Zertifikat notwendig ist. Es gilt in jedem Fall: Günstiges SSL Webhosting ist mittlerweile flächendeckend verfügbar und der Trend geht dahin, HTTPS flächendeckend einzusetzen.