Warning: Undefined property: stdClass::$public in /homepages/46/d771210779/htdocs/clickandbuilds/Juhu/wp-content/themes/mh-magazine/pro_include_single.php on line 43

Was ist ein SSL/TLS-Zertifikat, HTTPS und HTTP/2?

Hacker Brute Force Angriff

Heute geht es um das Thema HTTPS und SSL-Zertifikate, mit denen ein Webseiten-Betreiber mehr zu tun hat, als der normale Surfer im Internet. Was kostet ein SSL-Zertifikat, ist es lebenslang gültig? Gibt es auch kostenlose SSL-Zertifikate für das HTTPS-Protokoll, was ist der Unterschied zwischen SSL und TLS?

Heute stelle ich eine weitere Domain auf HTTPS um. Bevor ich jedoch bei 1&1 (IONOS) einfach eine SSL-Option buche, schaue ich, ob es nicht auch kostenlos, oder zumindest preiswerter, geht. Denn 3 Euro pro Monat sind schon recht heftig, wenn die Domain selber nur mit 1 Euro monatlich zu Buche steht.

Einzeln betrachtet mag das finanziell kein großes Ding sein, so ein SSL-Zertifikat. Bei IONOS habe ich allerdingt vier Domains liegen. 4 x 3 Euro ergeben monatliche Mehrkosten in Höhe von 12 und im Jahr 144 Euro – nicht unbedingt ein Taschengeld.

Das Gute: Eine meiner Domains liegt in einem Webhosting-Paket mit einem inklusiven SSL-Zertifikat. Es deckt genau eine Domain, sowie alle Subdomains an. STRATO handhabt es ebenso.

Übersicht

Aber nun der Reihenfolge nach: Was ist, was kann und was kostet ein SSL-Zertifikat


Was ist HTTPS?

Das Hypertext Transfer Protocol Secure (HTTPS) ist ein Kommunikationsprotokoll im Internet, über welches Daten sicher übertragen werden können. Entwickelt wurde das HTTPS Protokoll 1994 von Netscape.
Technisch gesehen ist es verwand mit dem HTML-Protokoll.

Wer alles etwas genauer wissen möchte, findet in der Wikipedia sehr ausführliche und technische Informationen.


Was ist ein SSL-Zertifikat (= TLS-Zertifikat)?

Secure Sockets Layer (SSL) ist der veraltete Name für ein Verschlüsselungsprotokoll zur sicheren Datenübertragung im Internet. Heute nennt es sich Transport Layer Security (TLS) Protokoll.

Das TLS-Protokoll besteht aus einem TLS Handshake und einem TLS Record. Im TLS Handshake werden Schlüssel ausgetauscht und eine Authentisierung findet statt. Ist hier alles in Ordnung, verwendet der nachfolgende TLS-Record den im TLS Handshake ausgehandelten symmetrischen Schlüssel für eine sichere Datenübertragung.

Ein SSL-Zertifikat garantiert, dass alle durch eine Website übermittelten Informationen verschlüsselt und vor dem Zugriff Dritter geschützt sind.


Was ist der Unterschied zwischen einem SSL- und TLS-Zertifikat?

Es gibt keinen Unterschied. Secure Sockets Layer (SSL) ist die alte Bezeichnung für Transport Layer Security (TLS), ein Netzwerkprotokoll zur sicheren Übertragung von Daten im Internet und Intranet.


Was zertifiziert (kontrolliert) ein SSL- oder TSL-Zertifikat?

Es gibt verschiedene Validierungsstufen bei SSL/TLS-Zertifikaten. Die Domain-Validierung ist die schnellste Validierungsart bei der Ausstellung eines SSL/TLS-Zertifikat. Geprüft wird durch die Zertifzierungsstelle nur, ob die Domain, auf der das Zertifikat ausgestellt werden soll, auf den richtigen Webserver verweist. Viele Webhoster (IONOS, STRATO) legen ihren Webhosting-Paketen kostenlos ein TLS-Zertifikat (neuer Name für SSL-Zertifikat) bei. Die Domain-Validierung ist geeignet für private und kleinere Webseiten.

Bei der Organisations-Validierung (OV) erfolgt zunächst die Selbe Prüfung wie der Domin-Validierung. Darüber hinaus prüft die Zertifizierungsstelle die Identität des Domain-Inhabers. In diesen Rahmen werden von der Zertifizierungsstelle verschiedene persönliche Angaben, beispielsweise Kontakt- oder Bankdaten überprüft. Der Surfer kann dann per Klick auf das Schloss-Symbol in der Adressleiste des Browsers Angaben zum Betreiber der Webseite abrufen und sich so einen ersten Eindruck von der Seriosität des Angebotes verschaffen.

Zu empfehlen ist ein OV-validiertes SSL/TLS-Zertifikat bei Betreibern von kommerziellen angeboten, wie beispielsweise einen Online-Shop.

Die Extended-Validierung (EV) ist die umfangreichste Validierung. Neben der Integrität des Webservers und der Domain, werden persönliche Daten des SSL-Antragsstellers sehr genau geprüft.

Ein Merkmal eines SSL-Zertifikats mit EV-Validierung ist die grüne Färbung der Adressleiste im Browser. Ein Klick auf das Schloss-Symbol im Browser liefert detaillierte Informationen über das Zertifikat und Webseiten-Inhaber.

SSL/TLS Zertifikate mit EV-Validierung eigenen sich besonders für Unternehmen aus dem Finanz-Sektor und sind mit mehreren hundert Euro pro Monat die teuersten SSL-Zertifikate.

Server Provider und Webspace Hoster bieten bei einer OV-Validierung zudem einen zusätzlicher Schutz vor Phishing an und die gedeckte Schadenssumme erhöht sich auf 1.2500.00 Dollar.


Wer darf ein SSL-Zertifikat ausstellen?

Zuständig für die Ausstellung von SSL- bzw. TLS-Zertifikaten sind die sogenannten Zertifizierungsstellen (CA). Bekannte Anbieter sind Comodo, Thawte, RapidSSL, GeoTrust oder Digicert. DigiCert ist beispielsweise Vertragspartner von IONOS (1&1).


Was nützt ein SSL-Zertifikat?

In erster Linie soll ein SSL-Zertifikat beim Besucher Deiner Website ein Gefühl der „Sicherheit“ vermitteln. Ein Online-Shop ohne SSL/TLS-Zertifizierung ist heutzutage nicht mehr denkbar.

Darüber hinaus wertet die Suchmaschine Google ein SSL-Zertifikat als „positives Signal“ und deutet damit eine bessere Platzierung in Google-Ranking an.

SSL/TLS-zertifizierte Websites können das neue HTTP/2-Protokoll nutzen und so den Datenverkehr und Seitenaufbau im Browser erheblich beschleunigen. Der Grund ist, dass Chrome, Opera und Firefox nur dann HTTP/2 unterstützen, wenn die Verbindung zum Server verschlüsselt übertragen wird.


Was kostet ein SSL-Zertifikat?

Hoster wie IONOS oder STRATO legen ihren Hosting-Paketen pro Vertrag ein kostenloses SSL-Zertifikat auf Basis einer Domain Validierung bei. Ein zusätzliches DV-Zertifikat schlägt mit 3 Euro pro Monat (36 Euro/Jahr) zu Buche.

Für eine Organisations-Validierung (OV) nimmt IONOS (1&1) und auch STRATO monatlich 6 Euro (72 Euro/Jahr).

Ebenfalls angeglichen sind die Preise beider Unternehmen bei der Extended-Validierung (EV) Version des SSL/TLS-Zertifikat: 17 Euro monatlich und 204 Euro im Jahr.

Andere Hoster und Zertifizierungsstellen haben völlig andere Preisvorstellungen. So nimmt Comodo für eine DV-Validierung nur 19 Euro pro Jahr und 109 Euro jährlich bei einen EV-validierten SSL/TLS-Zertifikat.

Auf der anderen Seite kann ein TLS/SSL-Zertifikat mit EV-Validierung auch schon einmal rund 1.000 Euro im Jahr kosten – wenn Du dich für einen der vielen Halsabschneider im Internet entscheidest.


Kann ich SSL-Zertifikate testen?

Die kostenlosen DV-Zertifikate von IONOS kannst du beispielsweise beliebig oft aktivieren und wieder deaktivieren.

Der Zertifikats-Händler GERWAN GmbH bietet für gewünschte Zertifikate einen zweiwöchigen Zeitraum gratis zur Probe an. Danach kannst Du entscheiden, ob du das Zertifikat kaufen möchtest oder nicht.


Gibt es kostenlose SSL-Zertifikate?

Let’s Encrypt ist eine Non-Profit Zertifizierungsstelle, die kostenlose SSL-Zertifikate zur Verfügung stellt. Allerdings muss nach spätestens 90 Tagen das Zertifikat erneuert werden.

Leider können nur Webmaster mit Server und Root-Zugriff die kostenlosen SSL Zertifikate von Let’s Encrypt nutze. Nutzer von Webhosting Paketen, haben keine guten Karten. Derzeit bieten nur die Hoster ALL-INKL, HOSTNET, ESTUGO und PROFIHOST Zertifikate von Let’s Encrypt ihren Homepage-Kunden an. Wer seine Website bei IONOS (ehemals 1&1) oder STRATO liegen hat, kommt nicht in den Genuss dieser kostenlosen SSL-Zertifikate.


Wie lange ist ein SSL-Zertifikat gültig?

SSL-/TLS-Zertifikate dürfen maximal 13 Monate gültig sein. Hoster wie IONOS oder STRATO nehmen dir diese Arbeit jedoch automatisch ab.


Verlangsamt ein SSL-Zertifikat meine Webseiten?

Ja und Nein. Ja, weil beim Aufruf einer SSL-zertifizierten Webseite zwischen Server und Browser ein Austausch von zusätzlichen Informationen stattfindet. Der Seitenaufbau wird um Millisekunden verzögert, ausgebremst. Je nach Art der Domain-Validierung müssen mehr oder weniger Daten ausgetauscht und abgeglichen werden.

Und nein, weil jetzt das schnellere HTTP/“ Protokoll genutzt werden kann.


Crawlt Google meine HTTP/2 Webseiten?

Eine dumme Frage? Nein. Selbst Mogul Google hinkt desweilen aktuellen Entwicklungen hinterher. Obwohl der HTTP/2-Standard bereis im Jahr 2016 verabschiedet wurde, brachte Google seinen Bots/Spidern erst im Jahr 2020 das Lasen von HTTPS/2 Webseiten bei.

Sollte es ältere Vorurteile zum Thema HTTP/2 in Bezug auf das Google-Ranking geben, können sie heute als ausgeräumt betrachtet werden – Google versteht mittlerweile „HTTP/2“.


Kann ich bei meinem Hoster ein selbst gekauftes SSL-Zertifikat eintragen?

Bei meiner Recherche entdeckte ich recht große Unterschiede in der Zertifikats-Preisgestaltung. Aber kann ich mir ein SSL- Zertifikat beispielsweise bei COMODO für 19 Euro jährlich (statt 36) kaufen und es „irgendwie“ bei IONOS (1&1) oder STRATO in mein Hosting/Webspace-Paket „einbauen“.

Nein, das geht bei Anbietern von Webspace und gemangten Servern (Managed Server) nicht, da hier der Zugriff auf die Root-Ebene der Betriebssoftware fehlt. Bei sogenannten V- Servern (virtuelle Server) und den dedizierten Servern bleibt es dir überlassen, was Du an Zertifikaten eigenhändig installierst.


Kann ich trotz SSL-Zertifizierung weiterhin das HTTP-Protokoll nutzen um Inhalte abzurufen?

Viele meiner Artikel sind bei der Verwertungsgesellschaft VG-Wort mit dem HTTPS-Protokoll gelistet. Eine Umstellung würde mich viel Zeit kosten. Kann ich diese Seiten nach der Umstellung auf HTTPS immer noch mit HTTP erreichen?

Ja. Wenn keine Umleitung eingerichtet wurde, erscheint unter der „alten“ Adresse (mit HTTP statt HTTPS) der Inhalt der Seite. Wenn eine Umleitung eingerichtet wurde, wird zur Website-Variante mit HTTPS-Protokoll weiter geleitet.