Was genau ist eigentlich ein SSL-Zertifikat?

Es gibt viele Maßnahmen, um Benutzer zu schützen – eine davon sind sogenannte SSL-Zertifikate. Was hat es mit diesen Zertifikaten auf sich und zwischen welchen Arten wird unterschieden?

Crash-Kurs SSL-Zertifikat

Zuallererst: SSL steht für „Secure-Sockets-Layer“ und verschlüsselt die Kommunikation von Daten, die von deinem Computer zu einem Server transportiert werden. Oft sieht man die Bezeichnung SSL/TLS, wobei die Abkürzung TLS für „Transport-Layer-Security“ steht. Bei TLS handelt es sich um nichts anderes als um die standardisierte Weiterentwicklung des „Secure-Sockets-Layer“-Protokolls von Netscape: SSL wurde mit der Version 3.1 zum Standard erklärt und in TLS 1.0 umbenannt. Da der Begriff SSL aber bekannter ist, findet er immer noch Anwendung.

Eine Verschlüsselung findet auf den zu übertragenden Daten zwischen Web-Browser und Server statt, und die Details dazu findet man in einem entsprechenden SSL-Zertifikat. Anders ausgedrückt: Das SSL-Zertifikat ist wie ein Vertrag zwischen Web-Browser und Web-Server, in dem die Konditionen definiert sind. Die Hauptaufgaben von TLS sind:

  1. Die Authentifizierung der Kommunikationspartner. Dabei kommen asymmetrische Verschlüsselungsverfahren zum Einsatz.
  2. Die vertrauliche Ende-zu-Ende-Datenübertragung mithilfe symmetrischer Verschlüsselungen. Erreicht wird das mit der Nutzung eines gemeinsamen Sitzungsschlüssels.
  3. Die Sicherstellung der Integrität der transportierten Daten.

Ein digitales SSL-Zertifikat (Provisions-Link) ist also ein digitaler Datensatz, der bestimmte Eigenschaften von Personen oder Objekten bestätigt und dessen Authentizität und Integrität durch kryptographische Verfahren geprüft werden kann. Das digitale Zertifikat enthält alle benötigten Informationen, die für diese Prüfung gebraucht werden.

Wie funktioniert ein TLS/SSL-Zertifikat?

Dein Client baut eine Verbindung zu einem Server auf und für gewöhnlich authentifiziert sich zuerst der Server gegenüber dem Client mit einem Zertifikat. Danach schickt entweder der Client dem Server eine – mit dem öffentlichen Schlüssel des Servers verschlüsselte – geheime Zufallszahl oder der Server und dein Client berechnen mit dem Diffie-Hellman-Schlüsselaustausch-Verfahren ein gemeinsames Geheimnis. Aus diesem Geheimnis wird dann ein Schlüssel errechnet, der in weiterer Folge benutzt wird, um die Kommunikation mit einer symmetrischen Verschlüsselung zu codieren.

Ein SSL-Zertifikat ist also nichts anderes als ein Übereinkommen zwischen deinem Client und einem Server, um deine an den Server zu übertragenden Daten verschlüsseln zu können.

ssl-zertifikat
SSL/TLS-Verschlüsselung ist auf dieser Website aktiv. (Grafik: t3n)

Wie erkenne ich als Nutzer, welches Zertifikat eine Website nutzt?

Ob SSL/TLS aktiviert ist, sieht man an einem kleinen Schloss-Icon, das ganz links in der Adresszeile des Browsers zu sehen ist. Daraus könnt ihr neben der Versionsnummer (aktuell ist TLS 1.2) auch entnehmen, mit welcher Art von Zertifikat genau ihr es zu tun habt. Es gibt nämlich drei verschiedene, die jeweils unterschiedliche Anforderungen haben, die erfüllt sein müssen, um das jeweilige Zertifikat zu bekommen. Bei diesen Anforderungen geht es um Informationen zum Unternehmen und deren Validierung.

Die drei Arten sind (geordnet von geringsten zu höchsten Anforderungen):

  • Domain-Validated-Zertifikat (DV-SSL)
  • Organisation-Validation-Zertifikat (OV-SSL)
  • Extended-Validation-Zertifikat (EV-SSL)

Eine Website mit einem EV-Zertifikat erkennt ihr daran, dass der Firmenname ebenfalls in der Adresszeile steht und dazu grün hinterlegt ist (wie bei unseren Screenshots zur Deutschen Bank). Die anderen beiden Zertifikate sind grafisch nicht voneinander zu unterscheiden, hier seht ihr nur das kleine Schloss-Icon. Wenn ihr allerdings auf dieses klickt und euch Informationen zum Zertifikat anzeigen lasst, könnt ihr auch hier weiter unterscheiden. Denn beim OV-Zertifikat bekommt ihr Informationen zum Besitzer angezeigt, beim DV-Zertifikat hingegen nicht.