Woran erkenne ich ein validierendes SSL-Zertifikat?

Jeder moderne Webbrowser zeigt dem Nutzer die Verwendung einer mittels HTTPS verschlüsselten Verbindung in der Adresszeile an und gibt einen Hinweis, wenn das verwendete SSL-Zertifikat nicht validiert.

Auf die Adresszeile des Webbrowsers achten

Der folgende Screenshot zeigt den Internet Explorer beim Aufruf von zwei unterschiedlichen Websites:

  • Beim Aufruf der ersten Domain, santander.co.uk, landet der User auf der URL http://www.santander.co.uk/uk/index – einer nicht verschlüsselten Verbindung.
  • Beim Aufruf der zweiten Domain, db.com, gelangt der Nutzer auf die URL https://www.db.com/index_e.htm – einer verschlüsselten Verbindung.

Beispiel nicht validierender SSL-Zertifikate im Webbrowser Chrome

Bei beiden im folgenden Screenshot zu sehenden Domains ist das SSL-Zertifikat nicht valide und der Webbrowser Chrome gibt einen entsprechenden Hinweis:

Warum validieren beide SSL-Zertifikate nicht und stellen somit eine nicht verschlüsselte Verbindung her?

  • Links: Ein selbst signiertes (self-signed) SSL-Zertifikat, dessen Identität nicht bestätigt werden kann.
  • Rechts: Ein von einer CA ausgestellte SSL-Zertifikat, dessen Identität bestätigt ist. Allerdings werden nicht alle Ressourcen über eine verschlüsselte Verbindung bereitgestellt, sodass eine potenzielle Sicherheitslücke besteht und der Webbrowser das Zertifikat nicht validiert.

Vorsicht: Warum ein validierendes SSL-Zertifikat wichtig ist

Mittels einem SSL-Zertifikat wird eine verschlüsselte HTTPS-Verbindung aufgebaut. Diese ist aber nur sicher, wenn das verwendete SSL-Zertifikat auch zu 100 % validiert ist. Ohne Verschlüsselung sind alle zu übertragenden Daten im Internet im Klartext einsehbar und so von Dritten manipulier- bzw. änderbar.

Darüber hinaus ist die Verwendung von HTTPS ein Google Ranking-Faktor, wenn auch nur ein geringer. Ein ungültiges Zertifikat bringt in diesem Falle keinen Ranking-Vorteil.

Mit dem kostenlosen Zertifikats-Check von SSL-Trust.com können z. B. weitere Informationen über das von einer Domain genutzte SSL-Zertifikat eingesehen werden.

Beispiel eines vertrauenswürdigen Zertifikats:

Beispiel eines nicht vertrauenswürdigen Zertifikats:

Die Fallstricke eines SSL-Zertifikats – warum es nicht validiert

Folgende Umstände können dazu führen, dass ein SSL-Zertifikat im Webbrowser nicht validiert und damit für nicht vertrauenswürdig eingestuft wird:

  • es handelt sich um ein selbst signierendes Zertifikat (self-signed)
  • kein bekanntes Root-Zertifikat (keine anerkannten Zertifizierungsstelle, Certification Authority (CA))
  • die Gültigkeit ist abgelaufen
  • die aufgerufene Domain stimmt nicht mit dem Gültigkeitsbereich der im Zertifikat eingetragenen Domain überein
  • die Website enthält nicht-verschlüsselte Ressourcen, die von Drittquellen ohne HTTPS-Unterstützung nachgeladen werden
  • die Unterstützung für Server-Name-Indication (SNI) fehlt im Zertifikat
  • alte Protokollversion durch Nutzung von alten OpenSSL-Versionen
  • Immer die neuste TLS-Bibliothek verwenden!
    • SSL v2 ist unsicher und sollte nicht verwendet werden  
    • SSL v3 sowie TLS v1.0 und TLS v1.1 sind seit längerem nicht mehr sicher.
    • TLS v1.2 ist aktuell noch der Standard.
    • TLS v1.3 ist die neuste, sicherste Version. Dieser ist nicht mehr Rückwärtskompatibel was die Implementierung erschweren kann.
  • die Schlüssellänge des Zertifikats ist weniger als 2048 bit

Videoerklärung: Was ist SSL? (Engl.)

Die wissenswerten Basics über SSL und wie die Verschlüsselung genau funktioniert werden in diesem englischsprachigen Video erklärt.

Weiterführende Informationen zu diesem Thema