Http - Hoch technisch total persönlich
Im übertragenen Sinne ist das schon richtig. Aber gehen wir der Sache nun ernsthaft auf den Grund. HTTP ist ein Protokoll, das festlegt, wie Daten in einem IP-Netzwerk übertragen werden. Ein IP-Netzwerk ist ein Netzwerk, in dem sich Computer austauschen. Z. B. das Intranet einer Firma oder auch das Internet. Jeder mit dem Netz verbundene Computer benötigt eine eigene Adresse, die IP-Adresse. Vergleichbar mit einem Bewohner einer Stadt, der eine einmalige Postadresse hat, damit ihm Nachrichten zugestellt werden können. Das HTTP-Protokoll regelt im Internet den Datenverkehr von einer Website auf einem Webserver zwischen einem Browser auf einem Personal Computer.
Von Ankern, Knoten und Verbindungen
Nein wir reden hier nicht in der Seemannssprache. Ausgeschrieben heißt HTTP Hypertext Transfer Protocol. Hypertext bezeichnet eine Informationsstruktur bestehend aus Knoten und Ankerpunkten, den Links. Über Links sind die Informationen bestehend aus Text auf nicht lineare Weise verzweigt und vernetzt. Nicht lineare bedeutet, dass es keine Richtung gibt, mit der man die Information verarbeiten muss, wie z. B. bei einem Buch. Mit diesem kleinen Vorwissen kommen wir nun zum SSL-Zertifikat.
Eine sichere Verbindung dank SSL-Zertifikat
Beim Aufruf einer Webseite überträgt das HTTP-Protokoll die Daten zwischen dem Webbrowser des Kunden und der Webseite auf dem Webserver unverschlüsselt. Das ist schlecht, wenn Login-Daten, Passwörter und Kommentare übertragen werden. Sind Personen gemeinsam im gleichen unverschlüsselten Wlan-Netz unterwegs, kann jemand leicht deine Daten mitlesen, die du über das unverschlüsselte HTTP-Protokoll auf der Website eingibst. Deswegen ist es seit Januar 2016 Pflicht, dass Webseiten, die persönliche Daten übertragen, z. B. über ein Web-Formular, dies nur noch mit HTTPS tun dürfen. Also der verschlüsselten, sicheren Variante des Übertragungsprotokolls. Diese sichere Übertragung mit HTTPS nennt man SSL-Verschlüsselung, ausgeschrieben Secure Socket Layer.
Auch in unserem Beispiel hat Sabine für ihre Yoga-Studio-Website ein SSL-Zertifikat, welches in ihrem Wordpress-Hosting mit enthalten ist.
Um zu sehen, ob das SSL-Zertifikat aktiv ist, schaut Sabine in der URL-Leiste ihres Browsers. Das sieht wie folgt aus:
Durch das grüne Schloss erkennt Sabine sofort, dass ihre Website SSL-verschlüsselt ist. Durch Klick auf das grüne Schloss erhält Sabines weitere Informationen, z.B. dass die Verbindung sicher ist.
Wenn Sabine auf "Verbindung ist sicher" klickt, erhält sie weitere Informationen zum SSL-Zertifikat z.B., dass das SSL-Zertifikat gültig ist und noch viele weitere Informationen.
Warum ein SSL-Zertifikat so wichtig ist
Mittlerweile findest du kaum noch Websites, die nicht über ein SSL-Zertifikat gesichert sind. Das siehst du an dem Schloss-Symbol am Anfang der Adresszeile des Browsers. Ein SSL-Zertifikat nach der DSGVO ist immer dann Pflicht, wenn du mit deiner Website Personendaten überträgst, z. B. bei Kontaktformularen, Bestellformularen, Registrierungen, Newsletter Anmeldungen und jeglichen Login-Daten. Aber auch ohne Formulare überträgt eine Website Daten, die sogenannten Logfile-Daten. Das sind auch personenbezogene Daten nach Artikel 4 der DSGVO.
Welche SSL-Verschlüsselung benötige ich?
Es gibt unterschiedliche SSL-Zertifikate und verschieden starke Verschlüsselungsmethoden. SSL/TLS wird oft zusammen genannt, wobei TLS die Weiterentwicklung der SSL-Verschlüsselung darstellt. Es gibt drei Gruppen der Verschlüsselungen:
- Ein Domain Validated Zertifikat (DV-SSL)
- Ein Organization Validated Zertifikat (OV-SSL) und
- Ein Extended Validation Zertifikat (EV-SSL)
Die Verschlüsselungstiefe ist bei allen Zertifikaten gleich. Üblich ist eine 256-Bit Verschlüsselung. Das Domain-validierte Zertifikat ist für eine "normale" Business-Website oder ein Blog ausreichend. In manchen Hosting-Paketen ist ein Domain-validiertes Zertifikat enthalten, so dass du dir darüber keine Gedanken machen musst.
Vorteile eines SSL-Zertifikats
Am wichtigsten ist natürlich die Sicherheit der verschlüsselten Kommunikation zwischen Server und Browser. Allein das kleine Schloss-Symbol sagt deinen Besuchern, der Besuch auf dieser Website ist sicher. Im Gegensatz dazu werden nicht verschlüsselte Webseiten in der Browser-Adresszeile mit einem offenen Schloss-Symbol gekennzeichnet und rot markiert. Das wirkt unseriös auf Besucher.
Ein weiterer Vorteil ist die Zertifizierung des Domaininhabers der rechtmäßige Besitzer dieser Domain zu sein. Da hier nicht die Unternehmensidentität geprüft wird, ist das Ausstellen des DV-SSL-Zertifikats schnell erledigt und es ist das Günstigste.
Vorsicht, nicht jedes SSL-Zertifikat ist fälschungssicher
Sicherer als ein DV-SSL-Zertifikat ist das SSL-Zertifikat, das über den Firmennamen ausgestellt wird. Domain-validierte SSL-Zertifikate können leider von Phishing-Betrügern trotzdem gefälscht werden. Sie machen sich ähnlich aussehende Zeichen in anderen Sprachen im Unicode zu Nutze, um gleich aussehende Domainnamen zu fälschen und darauf dann ein SSL-Zertifikat zu registrieren. Nur das Unternehmensnamen-verifizierte SSL-Zertifikat bietet eine sehr gute Sicherheit, Websites vor Phishing Betrügern zu schützen. Hier wird neben der Domain auch die Firmenidentität geprüft. Ein OV-SSL-Zertifikat erkennst du, wenn du auf das Schloss-Symbol in der Adresszeile klickst. Es öffnet sich ein Informationsfenster. In diesem siehst du, auf welchen Firmennamen das Zertifikat ausgestellt wurde. Nur Unternehmen, die in einem Firmenverzeichnis gelistet sind, z. B. im Handelsregister, bekommen ein OV-SSL-Zertifikat. Es ist also fälschungssicher. Dieses Firmennamen-geprüfte Zertifikat ist etwas teurer, bietet aber mehr Sicherheit vor Identitätsbetrug. Vor allem für eCommerce-Seiten ist das OV-SSL-Zertifikat zu empfehlen.
