Woran erkenne ich ein validierendes SSL-Zertifikat?

Jeder moderne Webbrowser zeigt dem Nutzer die Verwendung einer mittels HTTPS verschlüsselten Verbindung in der Adresszeile an und gibt einen Hinweis, wenn das verwendete SSL-Zertifikat nicht validiert.

Auf die Adresszeile des Webbrowsers achten

Der folgende Screenshot zeigt den Internet Explorer beim Aufruf von zwei unterschiedlichen Websites:

Screenshot mit zwei Browserzeilen, oben die der Santander Bank, ohne SSL-Zertifikat, und darunter für die Deutsche Bank, mit SSL-Zertifikat. Die Zeile für die Deutsche Bank ist grün hinterlegt.
  • Beim Aufruf der ersten Domain, santander.co.uk, landet der User auf der URL http://www.santander.co.uk/uk/index – einer nicht verschlüsselten Verbindung.
  • Beim Aufruf der zweiten Domain, db.com, gelangt der Nutzer auf die URL https://www.db.com/index_e.htm – einer verschlüsselten Verbindung.

Beispiel nicht validierender SSL-Zertifikate im Webbrowser Chrome

Bei beiden im folgenden Screenshot zu sehenden Domains ist das SSL-Zertifikat nicht valide und der Webbrowser Chrome gibt einen entsprechenden Hinweis:

Zwei nicht validierende SSL-Zertifikate. Links ein selbst erstelltes Zertifikat welches abgelaufen ist und rechts ein besttigtes Zertifikat, welches nicht validiert, da auf der Seite Ressourcen geladen werdn die über eine nicht verschlüsselte Verbindung laufen.

Warum validieren beide SSL-Zertifikate nicht und stellen somit eine nicht verschlüsselte Verbindung her?

  • Links: Ein selbst signiertes (self-signed) SSL-Zertifikat, dessen Identität nicht bestätigt werden kann.
  • Rechts: Ein von einer CA ausgestellte SSL-Zertifikat, dessen Identität bestätigt ist. Allerdings werden nicht alle Ressourcen über eine verschlüsselte Verbindung bereitgestellt, sodass eine potenzielle Sicherheitslücke besteht und der Webbrowser das Zertifikat nicht validiert.

Vorsicht: Warum ein validierendes SSL-Zertifikat wichtig ist

Mittels einem SSL-Zertifikat wird eine verschlüsselte HTTPS-Verbindung aufgebaut. Diese ist aber nur sicher, wenn das verwendete SSL-Zertifikat auch zu 100 % validiert ist. Ohne Verschlüsselung sind alle zu übertragenden Daten im Internet im Klartext einsehbar und so von Dritten manipulier- bzw. änderbar.

Darüber hinaus ist die Verwendung von HTTPS ein Google Ranking-Faktor, wenn auch nur ein geringer. Ein ungültiges Zertifikat bringt in diesem Falle keinen Ranking-Vorteil.

Mit dem kostenlosen Zertifikats-Check von SSL-Trust.com können z. B. weitere Informationen über das von einer Domain genutzte SSL-Zertifikat eingesehen werden.

Beispiel eines vertrauenswürdigen Zertifikats:

vertrauenswürdiges SSL-Zertifikat von Facebook.

Beispiel eines nicht vertrauenswürdigen Zertifikats:

NICHT vertrauenswürdiges, da abgelaufen, selbstsigniertes SSL-Zertifikat.

Die Fallstricke eines SSL-Zertifikats – warum es nicht validiert

Folgende Umstände können dazu führen, dass ein SSL-Zertifikat im Webbrowser nicht validiert und damit für nicht vertrauenswürdig eingestuft wird:

  • es handelt sich um ein selbst signierendes Zertifikat (self-signed)
  • kein bekanntes Root-Zertifikat (keine anerkannten Zertifizierungsstelle, Certification Authority (CA))
  • die Gültigkeit ist abgelaufen
  • die aufgerufene Domain stimmt nicht mit dem Gültigkeitsbereich der im Zertifikat eingetragenen Domain überein
  • die Website enthält nicht-verschlüsselte Ressourcen, die von Drittquellen ohne HTTPS-Unterstützung nachgeladen werden
  • die Unterstützung für Server-Name-Indication (SNI) fehlt im Zertifikat
  • alte Protokollversion durch Nutzung von alten OpenSSL-Versionen
  • Immer die neuste TLS-Bibliothek verwenden!
    • SSL v2 ist unsicher und sollte nicht verwendet werden  
    • SSL v3 sowie TLS v1.0 und TLS v1.1 sind seit längerem nicht mehr sicher.
    • TLS v1.2 ist aktuell noch der Standard.
    • TLS v1.3 ist die neuste, sicherste Version. Dieser ist nicht mehr Rückwärtskompatibel was die Implementierung erschweren kann.
  • die Schlüssellänge des Zertifikats ist weniger als 2048 bit

Videoerklärung: Was ist SSL? (Engl.)

Die wissenswerten Basics über SSL und wie die Verschlüsselung genau funktioniert werden in diesem englischsprachigen Video erklärt.

Weiterführende Informationen zu diesem Thema

14.12.2021