Keine Absicherung von Datenverbindungen ist aus dem Internet heute unvorstellbar. Ob Onlinebanking, das Buchen einer Reise oder das Bestellen im Onlineshop, selbst die persönlichen Daten im Kontaktformular werden über das Internet übermittelt. Viele dieser Daten sind sensibel und deshalb ist die Absicherung der Datenverbindung ein absolutes Muss.

Der Unterschied zwischen https, SSL und TLS und die Sicherheitseigenschaften dieser Protokolle ist nicht jedem klar. Es muss nicht immer VPN sein, wie ich hier erklärt habe, die Verwendung verschlüsselter Protokolle tut es oftmals auch.

Das Protkoll SSL steht für Secure Sockets Layer einige bekannte Schwachstellen und sollte deshalb nicht mehr eingesetzt werden. Der Nachfolger nennt sich TLS und steht für Transport Layer Security. Meist ist TLS gemeint, wenn vom weit verbreiteten SSL gesprochen wird. HTTPS heißt Hypertext Transfer Protocol Secure und ist in dem Sinne kein eigenständiges Protokoll. Vielmehr bezeichnet HTTPS die Verwendung von HTTP über TLS respektive SSL. Browser zeigen meist durch ein Schloss auf, wenn eine HTTPS Verbindung genutzt wird.

Ergänzend wird bei einigen Browsern dies farblich abgesetzt, zum Beispiel durch ein grünes Schloss.

Ziele der abgesicherten Datenverbindung

Weitgehend wird eine abgesicherte Verbindung mit der Verschlüsselung einer solchen gleichgesetzt. Jedoch verfolgt SSL und TLS primär drei Hauptziele:

Vertraulichkeit durch Verschlüsselung

Die Vertraulichkeit wird durch die Verschlüsselung der Verbindung gewährleistet. Wenn über meine Webseite und das Kontaktformular oder in den Kommentaren Daten von dir übermittelt werden so kannst du dir sicher sein, dass diese nicht von Dritten abgefangen werden. Gleiches gilt beim Einkauf im Onlineshop, hier können die für den Kauf notwendigen Daten nicht abgefangen und mißbraucht werden.

Datenintegrität

Sendest du einen Kommentar auf meiner Webseite ab, so garantiere ich dir, dass dieser nicht durch Dritte manipuliert werden kann. Bestellst du im Onlineshop zwei Festplatten, so dürfen durch Dritte daraus nicht zehn gemacht werden. Viel wichtiger noch, durch die Integrität der Daten kann die Lieferadresse nicht manipuliert werden. Das schafft Vertrauen für Käufer und gibt dem Verkäufer ebensolche Sicherheit, die andernfalls existenzbedrohend sein kann.

Authentizität

Für dich muss abseits des Impressums oder der Domainregistrierungsdaten meine Webseitenbetreiberidentität überprüfbar sein. Nur durch diese Sicherstellung weißt du, wer wirklich für die Absicherung der Datenverbindung zwischen deinem Browser und meiner Webseite gerade steht. Gleiches gilt für den Einkauf im Onlineshop. Für Dich muss überprüfbar sein, wer der Shopbetreiber ist und mit wem du ein Geschäft eingehst.

Einwände

Zwar ist die Authentizität theoretisch beim Einsatz von SSL-Zertifikaten gegeben, in der Praxis musst du jedoch selbst entscheiden, ob du einem Zeritifkat, der Zertifizierungsstelle und letztendlich dem Betreiber vertraust.

SSL-Zertifikate

Ein SSL-Zertifikat kann von jedem selbst generiert und signiert werden. Viele kennen das damit einhergehende Problem der Zertifikatswarnung im Browser, schließlich gibt es bei solchen Zertifikaten keine unabhängige Institution welche die Identität des Ausstellers überprüft hat.

Jeder Browser- und Betriebssystemhersteller überprüft ausgewählte Organisationen und vertraut diesen sogenannten Zertifizierungsstellen. Diesen von den Zertifizierungsstellen ausgestellten Zertifikaten wird vertraut und damit schließt sich die Vertrauenskette zwischen dem Browser und der besuchten Webseite auf dem Server. Zertifizierungsstellen müssen die Möglichkeit haben, die Identität von Dritten prüfen zu können und werden nach dieser Prüfung die Zertifikate signieren. Somit wird ein Mindeststandard eingehalten und ein regelmäßig wiederkehrender Überprüfungsprozess stuft die Organisationen als vertrauenswürdig ein. Bei jedem Besuch meiner Webseite wird letztendlich überprüft, ob diese Vertrauenskette intakt ist.

Drei Stufen gibt es für die Überprüfung der Identität und die demzufolge ausgestellten Zertifikate. Bei Klasse 1 Zertifikaten wird lediglich überprüft, ob der Antragsteller im Besitz der im Zertifikat vermerkten Domain ist. Ein solches Zertifikat wird von Let’s Encrypt für dein NAS ausgestellt. Mehr verlangt wird bei Klasse 2 Zertifikaten, hier muss mit Kopien von Ausweisdokumenten oder Unternehmensunterlagen nachgewiesen werden, dass der Antragsteller mit der Identität im Zertifikat übereinstimmt. Viel intensiver erfolgt die Prüfung bei Klasse 3 Extended-Validation-Zertifikate Zertifikaten. Hier werden weitere Dokumente nötig und solche Zertifikate werden auch als bezeichnet.