Woran erkenne ich ein validierendes SSL-Zertifikat?

Jeder moderne Webbrowser zeigt dem Nutzer die Verwendung einer mittels HTTPS verschlüsselten Verbindung in der Adresszeile an und gibt einen Hinweis, wenn das verwendete SSL-Zertifikat nicht validiert.

Auf die Adresszeile des Webbrowsers achten

Der folgende Screenshot zeigt den Internet Explorer beim Aufruf von zwei unterschiedlichen Banken-Websites:

HTTP vs. HTTPS in der Adresszeile des Internet Explorers

  • Beim Aufruf der ersten Domain, santander.co.uk, landet der User auf der URL http://www.santander.co.uk/uk/index – einer nicht verschlüsselten Verbindung.
  • Beim Aufruf der zweiten Domain, db.com, gelangt der Nutzer auf die URL https://www.db.com/index_e.htm – einer verschlüsselten Verbindung.

Beispiel nicht validierender SSL-Zertifikate im Webbrowser Chrome

Bei beiden im folgenden Screenshot zu sehenden Domains ist das SSL-Zertifikat nicht valide und der Webbrowser Chrome gibt entsprechend einen Hinweis aus:

Zwei nicht validierende SSL-Zertifikate

Zwei nicht validierende SSL-Zertifikate

Warum validieren beide SSL-Zertifikate nicht und stellen somit eine nicht verschlüsselte Verbindung her?

  • Rot markiert: Ein selbst signiertes (self-signed) SSL-Zertifikat, dessen Identität nicht bestätigt werden kann.
  • Gelb markiert: Ein von einer CA ausgestellte SSL-Zertifikat, dessen Identität bestätigt ist. Allerdings werden nicht alle Ressource über eine verschlüsselte Verbindung bereitgestellt, sodass eine potenzielle Sicherheitslücke besteht und der Webbrowser das Zertifikat nicht validiert.

Obacht: Warum ein validierendes SSL-Zertifikat wichtig ist

Mittels einem SSL-Zertifikat wird eine verschlüsselte HTTPS-Verbindung aufgebaut. Diese ist aber nur sicher, wenn das verwendete SSL-Zertifikat auch zu 100% validiert. Ohne Verschlüsselung sind alle zu übertragenden Daten im Internet im Klartext einsehbar und von Dritten manipulier- bzw. änderbar.

Sekundär zu sehen ist, dass HTTPS ein Ranking-Faktor bei Google ist. Ein ungültiges Zertifikat bringt in diesem Falle keinen kleinen Ranking-Vorteil für jene Website.

Mit dem kostenlosen Zertifikats-Check von SSL-Trust.com können z.B. weitere Informationen über das von einer Domain genutzte SSL-Zertifikat eingesehen werden.

Beispiel eines vertrauenswürdigen Zertifikats:

vertrauenswürdiges SSL-Zertifikat

vertrauenswürdiges SSL-Zertifikat

Beispiel eines nicht vertrauenswürdigen Zertifikats:

NICHT vertrauenswürdiges SSL-Zertifikat

NICHT vertrauenswürdiges SSL-Zertifikat

Die Fallstricke eines SSL-Zertifikat – warum es nicht validiert

Folgende Umstände können dazu führen, dass ein SSL-Zertifikat im Webbrowser nicht validiert und für nicht vertrauenswürdig eingestuft wird:

  • selbst signierendes Zertifikat (self-signed)
  • kein bekanntes Root-Zertifikat (keine anerkannten Zertifizierungsstelle, Certification Authority (CA))
  • die Gültigkeit ist abgelaufen
  • die aufgerufene Domain stimmt nicht mit dem Gültigkeitsbereich der im Zertifikat eingetragenen Domain überein
  • die Website enthält nicht verschlüsselte Ressourcen, welche z.B. von Drittquellen ohne HTTPS-Unterstützung nachgeladen werden
  • die Unterstützung für Server Name Indication (SNI) fehlt im Zertifikat
  • alte Protokollversion durch Nutzung von alten OpenSSL-Versionen. Immer die neuste TLS-Bibliothek verwenden!
    • SSL v2 ist unsicher und sollte nicht verwendet werden
    • SSL v3 und TLS v1.0 sind weit verbreitet, deren Sicherheit wird aber angezweifelt
    • TLS v1.1 und v1.2 sind die neusten, sichersten Standards

     

  • die Schlüssellänge des Zertifikats ist weniger als 2048 bit

Videoerklärung: Was ist SSL? (Engl.)

Die wissenswerten Basics über SSL und wie die Verschlüsselung funktioniert. Erklärt in diesem englischsprachigen Video.

Weiterführende Informationen zu diesem Thema

Related Topics

SEO-Themen von A bis Z