SSL/TLS schafft Vertrauen – Systemhäuser können doppelt profitieren

SSL/TLS schafft Vertrauen – Systemhäuser können doppelt profitieren

Mit Secure Socket Layer (SSL) und Transport Layer Security (TLS) Zertifikaten kann die Kommunikation im Web effektiv abgesichert werden. Für Vertrauen im E-Commerce und auch in anderen Branchen sind diese Zertifikate damit unverzichtbar. BUSYMOUSE zeigt worauf es (bei diesen) ankommt und warum Systemhäuser Ihre Kunden jetzt aktiv beraten müssen.

Secure Socket Layer (SSL) und Transport Layer Security (TLS) Zertifikate stellen sicher, dass die Datenübertragung im Internet verschlüsselt und sicher erfolgt. Der Nutzer erkennt an einem kleinen Vorhängeschloss vor der URL, ob eine Web-Site SSL/TLS verschlüsselt ist. So sollen Cyber-Kriminelle davon abgehalten werden, Daten während der Übertragung abzufangen und auszulesen. Gewährleistet wird die Übertragungssicherheit durch eine allgemein anerkannte Zertifizierungsautorität (CA).

Streng genommen ist TLS die Weiterentwicklung von SSL und eigentlich sollte nur noch von TLS gesprochen werden, aber umgangssprachlich halten viele, wie bei den schon seit Jahrzehnten offiziell abgeschafften Pferdestärken im Auto, an den alten Begriffen fest. Der aktuell gültige Standard ist TLS 1.3 vom August 2018. Die letzte Version 3.0 von SSL stammt aus dem Jahr 1996. Eine Version 3.1 erschien nicht mehr, stattdessen ging SSL in TLS 1.0 auf.

Erstaunlicherweise wird das Thema teilweise immer noch stiefmütterlich von Unternehmen behandelt, obwohl die Zertifikate seit in Kraft treten der neuen DSGVO verpflichtend sind. Systemhäuser sind wieder einmal als Berater gefragt und müssen die Zertifikate aktiv bei Ihren Kunden positionieren.

Es gibt drei verschiedene Arten dieser Zertifikate (geordnet von geringsten zu höchsten Anforderungen):

 

1.Domain-Validated-Zertifikat (DV-SSL)

  • Sichere Verbindung
  • Validierung der Domain
  • Schloss-Symbol im Browser

 

Voraussetzungen

Eine gültige E-Mail-Adresse aus dem WHOIS oder eine alternative administrative Adresse

 

2. Organisationsvalidierte SSL-Zertifikate

  • Sichere & authentifizierte Verbindung
  • Validierung der Domain
  • Schloss-Symbol im Browser
  • Authentifizierung des Unternehmens
  • Unternehmensinformationen im Zertifikat

 

Voraussetzungen

Die Überprüfung des Unternehmens erfolgt über ein amtliches Dokument des Antragstellers. Die Telefonnummer muss in einem öffentlichen Telefonbuch einsehbar sein. Der WHOIS-Eintrag muss mit den Unternehmensdaten übereinstimmen.

 

3.Extended Validation SSL-Zertifikate

  • Sichere und umfangreich authentifizierte Verbindung
  • Validierung der Domain
  • Schloss-Symbol im Browser
  • Authentifizierung des Unternehmens
  • Unternehmensinformationen im Zertifikat
  • Grüne Adressleiste im Browser

 

Voraussetzungen

Eine mit EV-Zertifikat ausgezeichnete Web-Site ist grün hinterlegt und damit als besonderes vertrauenswürdig gekennzeichnet. Erforderlich ist ein Organisationseintrag in einem öffentlichen Register z.B. Handelsregister. Die Telefonnummer muss in einem öffentlichen Telefonbuch einsehbar sein. Der WHOIS-Eintrag muss mit den Organisationsdaten übereinstimmen.

 

Die Symantec-Krise und andere Zwischenfälle zeigen die Relevanz des Themas

SSL/TLS soll eigentlich für Vertrauen sorgen, wurde aber selbst oft angegriffen. Es ist leider so, dass in der freien Wildbahn häufig noch SSL 2.0 und 3.0 verwendet werden und diese uralten Standards sind natürlich nicht gegen moderne Attacken gerüstet. Am schwerwiegendsten war 2017 die Symantec-Krise: Google entzog Symantec das Vertrauen, ebenso wie den Tochterunternehmen Thawte, VeriSign, Equifax, GeoTrust und RapidSSL. Die Folgen waren für Symantec katastrophal: Das Unternehmen zog sich ganz aus dem Markt zurück und verkaufte seine Technologien an den heutigen Marktführer Digicert, der jetzt unter anderem mit der Marke Norton wirbt.

 

Heutige Marktsituation

Den aktuellen Markt an SSL/TSL-Anbietern beleuchtet die Studie von Frost & Sullivan „The Global TLS Certificate Authority Market: Key Insights for Enterprise End Users.“

Demnach ist das Unternehmen Digicert führender Anbieter mit einem Marktanteil von 38 Prozent. Zweistellige Marktanteile können auch Entrust (16 Prozent), Global Sign (13 Prozent), und Network Solutions (11 Prozent) vorweisen. Weiter zu nennen sind Sectigo (ehemals Comodo) (6 Prozent), Trustwave (4 Prozent) und GoDaddy (3 Prozent). Das britische Unternehmen Global Sign ist der einzige Europäer in dieser Phalanx der US-Amerikaner. Dieser Punkt kann sehr wichtig sein, denn die Hersteller von jenseits des Atlantiks dürfen im Ausland nur eingeschränkte Verschlüsselungstechnologien anbieten.

Neben diesen kostenpflichtigen Produkten gibt es das kostenlose Open Source Angebot von Let’s Encrypt als freie, automatisierte und offene Zertifizierungsstelle, die unter anderem von Mozilla und Google unterstützt wird. Let’s Encrypt ist gut geeignet für DV-Zertifikate. Für höhere Zertifizierungsstufen sollte man auf andere Anbieter zurückgreifen. Das OSS-Angebot zeichnet sich für mehr als die Hälfte aller ausgestellten Zertifikate verantwortlich. Es gibt die bekannten Nachteile von Open Source: Let’s Encrypt ist zwar kostenlos, aber bei Dokumentation und Support stößt man schnell an Grenzen.

 

Ratschläge für Reseller

Der Markt für DV-Zertifikate ist preissensitiv und umkämpft. Reseller sollten sich daher auf die höheren Zertifikatsklassen fokussieren und diese in ein Gesamtkonzept für sicheren E-Commerce einbinden. Achten Sie darauf, dass Sie nur Zertifikate des aktuellen Standards TLS 1.3 verwenden, die von einem vertrauenswürdigen CA unterstützt werden. „Wir bieten eine umfassende Beratung zum richtigen Einsatz von Zertifikaten und können Händlern dabei helfen, in diesem Segment erfolgreich zu sein. Nähere Informationen finden Sie in unserem ‚Benutzerhandbuch SSL Zertifikate‘“, erklärt Stefan Mende, BUSYMOUSE NEXT.

 

Quelle Titelbild: unsplash /