Neu ins Leben gerufene Seiten können von Beginn an über eine SSL-Verschlüsselung verfügen. Doch auch für bereits bestehende Seiten stellt die Umstellung auf HTTPS keinen allzu großen Aufwand dar. Der erste Schritt: das SSL-Zertifikat für die jeweilige Domain.
SSL-Zertifikate erwerben
Das SSL-Zertifikat ist eine Art Identitätsnachweis einer Website. Die offizielle Vergabestelle (CA), bei der man das Zertifikat erwirbt, hat die Identität vorab geprüft und bürgt für die Richtigkeit der Angaben. SSL-Zertifikate werden auf dem Server abgelegt und jedes Mal abgerufen, wenn ein Besucher eine auf HTTPS umgestellte Website besucht. Es gibt verschiedene Arten von Zertifikaten, die sich hinsichtlich des Umfangs der Identifikation unterscheiden:
- Zertifikate mit Domain-Validierung (DV) – kostenfrei und kostenpflichtig
Dies sind die Zertifikate mit der niedrigsten Authentifizierungsstufe. Dabei prüft die CA lediglich, ob der Antragsteller im Besitz der entsprechenden Domain ist, für die er ein Zertifikat erwerben möchte. Unternehmensinformationen werden bei der Überprüfung nicht kontrolliert, weshalb bei der Domain-Validierung ein Restrisiko bestehen bleibt. Durch den geringen Authentifizierungsaufwand wird das Zertifikat allerdings schnell von der CA ausgestellt und es ist zudem das günstigste der drei SSL-Zertifikatstypen – häufig ist es sogar gänzlich kostenfrei (Let’s Encrypt).
Zertifikate mit Domain-Validierung eignen sich für Websites, bei denen Vertrauen und Glaubwürdigkeit eine untergeordnete Rolle spielen und kein Phishing (Verlinkung)- oder Betrugsrisiko besteht.
- Zertifikate mit Inhaber-Validierung (OV) – kostenpflichtig
Diese Art der Validierung ist umfangreicher und somit sicherer als die Domain-Validierung. Neben der Domain-Inhaberschaft überprüft die CA zusätzlich relevante Unternehmensinformationen wie zum Beispiel den Eintrag im Handelsregister. Die von der CA überprüften Informationen sind für die Website-Besucher einsehbar, was das Vertrauen in die Webseite und das Unternehmen stärkt. Durch den aufwendigeren Überprüfungsprozess ist das SSL-Zertifikat mit Inhaber-Validierung teurer als das Zertifikat mit Domain-Validierung, bietet jedoch einen höheren Grad an Sicherheit.
Dieses Zertifikat eignet sich für Websites, auf denen Transaktionen mit nicht-sensiblen Daten stattfinden.
- Zertifikate mit Extended Validation (EV) – kostenpflichtig
Dies ist das Zertifikat mit der höchsten und umfangreichsten Authentifizierungsstufe. Im Vergleich zum Zertifikat mit Inhaber-Validierung werden Unternehmensinformationen noch detaillierter auf die strengen Vergabekriterien überprüft. Zudem wird dieses Zertifikat nur von dazu autorisierten CA vergeben. Die ausführliche Überprüfung des Unternehmens gewährt die höchste Sicherheitsstufe und stärkt somit das Vertrauen und die Glaubwürdigkeit in die Webseite. Gleichzeitig geht das Zertifikat mit Extended Validation mit den höchsten Kosten einher.
Dieses Zertifikat eignet sich für Websites, die zum Beispiel Kreditkarteninformationen oder andere sensible Daten erheben.
Welche Zertifikate für welche Websites geeignet sind lässt sich anhand folgender Infografik überprüfen: