Wenn ein falscher Hostname im SSL-Zertifikat angegeben ist, ist das in etwa so, als würde in deinem Personalausweis ein falscher Name stehen. Es ist der prüfenden Instanz (in diesem Fall dem Browser) nicht mehr möglich zu erkennen, dass es sich um eine sichere Verbindung handelt.
Weil ein Datenwert nicht stimmt, wird das gesamte Zertifikat wertlos. Da sich die Verschlüsselung auf die im Zertifikat enthaltenen Daten stützt, kann diese nicht mehr wie gewünscht durchgeführt werden.
Das führt dazu, dass der Besucher einer Website eine Warnung erhält, dass etwas mit dem SSL-Zertifikat nicht stimmt. Bei den meisten Browsern erfährt er auch, dass der Hostname nicht korrekt ist. Er kann sich dann entscheiden, ob er unter diesen Umständen eine Verbindung zur Website aufnehmen möchte oder nicht.
Natürlich werden sich viele User dagegen entscheiden. Ein solcher Fehler sollte das Misstrauen jeden Users wecken und dementsprechend dazu führen, dass viele Kunden die Website nicht mehr aufrufen. Dies gilt umso mehr, weil ein falscher Hostname auch ein Zeichen dafür sein kann, dass unautorisierte Dritte versucht haben, die sichere Verbindung zwischen Nutzer und Website zu manipulieren. Ein falscher Hostname ist also für viele Nutzer noch schwerwiegender als der Verzicht auf eine SSL-Verschlüsselung.
Häufige Gründe, die zu einem Namensfehler führen, sind falsche Domänennamen bei der Beantragung für ein SSL-Zertifikat, wie sie beispielsweise bei Tippfehlern schnell geschehen können.
Eine weitere Fehlerquelle ist, dass ein Multi-Domain-SSL-Zertifikat nicht richtig ausgefüllt ist und nicht alle gewünschten FQDNS im Zertifikatsauftragsformular enthalten sind. Ein dritter Grund sind selbstsignierte Zertifikate, die oft automatisch generiert werden und dann nicht den richtigen Namen der Domain enthalten.
Die Lösung ist leicht: Webmaster sollten sich bei der Erteilung von Zertifikaten auf vertrauenswürdige Zertifizierungsstellen verlassen und ihren Antrag sorgsam auf Tippfehler oder fehlende Domänennamen prüfen.
Wenn das Sicherheitszertifikat einer Website abläuft, erhält jeder Besucher über seinen Browser eine Warnmeldung. Ein abgelaufenes SSL-Zertifikat ist ein sehr häufiger Grund für Sicherheitswarnungen, da Zertifikate üblicherweise jährlich aktualisiert werden müssen.
Es ist ein wenig so, als würde deine Website versuchen, sich mit einem abgelaufenen Personalausweis auszuweisen: Vertrauenswürdig ist das nicht. Anderseits ist ein abgelaufenes Zertifikat auch nicht zwangsweise gleichbedeutend mit einer unsicheren Website, aber viele Besucher schreckt diese Warnmeldung ab. Das ist besonders ärgerlich, weil es leicht ist, seine SSL-Zertifikate aktuell zu halten.
Sogar ein abgelaufenes SSL-Zertifikat kannst du in wenigen Minuten erneuern. Dafür kannst du es einfach bei der Zertifizierungsstelle erneuern, bei der du auch dein altes Zertifikat angefordert hast. Alternativ kannst du bei einer neuen Zertifizierungsstelle ein neues Zertifikat anfordern. Dann hast du jedoch etwas mehr Aufwand bei der Antragsstellung, weil du wieder ganz genau auf Tippfehler achten musst und Flüchtigkeitsfehler wahrscheinlicher sind.
Danach ist das Vorgehen jedoch ähnlich: Du bekommst eine neue Zertifikatsdatei und solltest deine alte löschen. Nun kannst du die neue Zertifikatsdatei auf deinen Server hochladen und kannst direkt mit einem Tool prüfen, ob sie funktioniert.
Um zu verhindern, dass deine Zertifikate ablaufen, solltest du dir den Ablauftermin in deinen Kalender eintragen oder die Erinnerungsfunktion deiner Zertifizierungsstelle nutzen.
Am einfachsten prüfst du, ob dein SSL-Zertifikat bald abläuft, indem du deine Website aufrufst. Denn die meisten Browser haben die Möglichkeit integriert, sich das Zertifikat genau anzusehen. Du bist dadurch nur zwei Klicks von der gewünschten Information entfernt.
Klicke auf das Schloss-Symbol neben der URL. Nun öffnet sich ein Dropdown-Menü, in dem du mehr Informationen über dein Zertifikat erhalten kannst. Die meisten Browser verbergen die Information zur Gültigkeit unter „Zertifikat“ oder „Zertifikat anzeigen“. Wenn du darauf klickst, erfährst du, von wann bis wann das Zertifikat gültig ist.
Wenn dir das zu kompliziert ist, unterstützen dich auch zahlreiche Tools dabei, diese Information herauszufinden, beispielsweise der SSL-Check von Ionos oder SSL.de. Du gibst dort einfach deine URL an und erhältst die Informationen zur Gültigkeit. Außerdem gibt es diverse teils kostenpflichtige Suiten, die den Sicherheitszustand deiner Website überwachen und dich über Probleme informieren.
Ein dritter Weg ist das Interface deiner Zertifizierungsstelle: Hier kannst du üblicherweise alle von dir genutzten Zertifikate einsehen und diese auch nach ihrem Ablaufdatum sortieren. Diese Übersicht ist Gold wert, wenn du mehrere Zertifikate einsetzt und deswegen schnell die Übersicht verlieren könntest.
SSL nutzt veraltete Protokolle, allerdings nutzen auch viel weniger Webmaster überhaupt noch SSL, als die meisten vermuten würden. Denn SSL gilt bereits seit 2015 als technisch veraltet. Der derzeitige Goldstandard ist TLS 1.3, der 2018 veröffentlicht wurde.
Die Technik von Secure Socket Layer wurde also von Transport Layer Security abgelöst. Im alltäglichen Sprachgebrauch wird jedoch TLS häufig mit SSL-Verschlüsselung gleichgesetzt. Sogar Anbieter nutzen nach wie vor aus Marketinggründen SSL als Synonym für TLS, sodass diese Unschärfe länger bestehen wird.
Die Weiterentwicklungen wurden notwendig, weil der Verschlüsselungsalgorithmus von SSL bereits durch Angriffe entschlüsselt werden konnte. TLS bietet einen deutlich besseren Schutz. Außerdem verschlüsselt TLS die Nachrichten pseudozufällig und schützt sie so besser vor Angriffen. Insgesamt ist die derzeit aktuelle Version TLS 1.3 der letzten veröffentlichten und zwanzig Jahre älteren SSL-Version 3.0 deutlich überlegen.
Eine fehlende HTTPS-Verschlüsselung kann sich nicht nur auf die gesamte Website, sondern auf das Problem des mixed content beziehen: Dann werden manche Inhalte unverschlüsselt ausgeliefert, während der Rest verschlüsselt ist. Oftmals handelt es sich bei den unverschlüsselten Inhalten um alte Verweise und Verzeichnisse, deren Pfad nach wie vor mit http:// anstatt mit https:// beginnt.
Bilder sind besonders häufig hiervon betroffen. Websites wie Why No Padlock? scannen deine Online-Präsenz auf genau diese Dateien und Verzeichnisse und listen sie auf. Alternativ findest du die entsprechenden Dateien auch in der Web Console von Firefox und Chrome.
Alles, was du dann tun musst, ist, die betroffenen Dateien nach https:// umzuziehen und die Verweise entsprechend zu ändern.
Wenn deine Website sogar ganz auf eine Verschlüsselung verzichtet, solltest du diese so bald wie möglich integrieren. SSL-Zertifikate kosten nur ein paar Euro im Jahr, und die Einrichtung ist auch für Laien sehr einfach. In vielen Fällen reicht es aus, eine Datei zu beantragen und auf den Server hochzuladen. Wenn du beispielsweise mit WordPress arbeitest, gibt es einige schlagkräftige Add-ons, mit denen du die Verschlüsselung umsetzen kannst. Alternativ ist die Verschlüsselung auch in Sicherheitssuiten enthalten, oder du kannst sie direkt beim Hoster mitbeantragen.
Durch Formulare auf unverschlüsselten Seiten gesendete Daten können prinzipiell von unberechtigten Dritten abgefangen werden. Das bedeutet, dass es für deine Kunden (oder auch dich selbst) nicht sicher ist, Daten in solche Formulare einzutragen.
Bei einer Verschlüsselung werden die Daten unkenntlich übertragen. Server und Domain kommunizieren in einer Art Geheimcode, der nur durch den Empfänger entschlüsselt werden kann. Gelingt es einem Hacker, an die gesendeten Daten zu gelangen, erhält er nur eine kryptografisch verschlüsselte und somit für ihn nutzlose Zeichenkette. Berechtigte Empfänger haben hingegen den Schlüssel zum Code und können somit die gesendeten Daten entschlüsseln. Die Verschlüsselung schützt also nicht vor dem Abfangen an sich, jedoch vor der Verwendung der abgefangenen Daten.
Wann immer eine Website personenbezogene Daten erhebt, muss sie diese auch bei der Übertragung schützen. Schon seit 2018 ist dies gesetzlich vorgeschrieben. Formulare auf unverschlüsselten Seiten können also zu einem Bußgeld führen. Browser schützen die Sicherheit ihrer Nutzer. Sie verweisen darauf, dass eine Website unsicher ist und der User darauf verzichten sollte, empfindliche Daten zu übermitteln.
