Die SSL Zertifikate von Let’s Encrypt sind in unserem Webhosting Angebot gefragt wie nie. Verständlich. Diese Absicherung erlaubt Ihnen eine zu 100% kostenlose Verschlüsselung von Daten zwischen Browser und Webserver. Vielen Anbietern von kostenpflichtigen Zertifikaten missfällt das natürlich.  So haben wir nun schon öfter feststellen können, dass inzwischen vor allem die teuren EV Zertifikate über die Cert’s massiv beworben werden. Sie sollen eine höhere und damit bessere Absicherung bieten. Doch ist dem wirklich so? Brauchen Sie als Unternehmen diesen Schutz wirklich? Oder müssen Sie kein SSL EV Zertifikat kaufen?

Welche SSL Zertifikate gibt es?

DV SSL-Zertifikate

Die gängiste Absicherung per SSL, die auch von den meisten Privatpersonen genutzt wird, ist das Domain validierte SSL Zertifikat. Auch Let’s Encrypt verwendet diese Form. Damit kann jeder Domaininhaber ein Einzelzertifikat erhalten, dass für eine einzelne Domain (www.domain.de), ausgestellt wird. Die zu zertifizierende Domain wird hierfür per E-Mail oder Hash (HTTP Hash, CName Hash- Validierungsmethode) auf Ihre Inhaberschaft überprüft.

Bei Domain-Neuregistrierungen haben Sie über SaarServer Webhosting automatisch diese Option für eine (inzwischen ja auch notwendige) SSL Absicherung. Für unsere Bestandskunden besteht zudem die Möglichkeit, wenn gewünscht, SSL für Ihre Domains auch nachträglich kostenlos bei uns aktivieren zu lassen.

OV SSL-Zertifikate

Die zweite oft verwendete Absicherung wird gerne von Unternehmen genutzt. Hier handelt es sich um die sogenannten OV SSL-Zertifikate (Organisation validated). Grundsätzlich wird dasselbe Verfahren genutzt wie schon beim Domain validierten Zertifikat. Der Validierungsprozess beinhaltet jedoch zusätzlich eine Organisationsprüfung. Das Unternehmen muss bestimmte Dokumente an die Zertifizierungsstellen senden, um zu bezeugen, dass das Unternehmen existiert, z.B. mit dem Handelsregisterauszug. Außerdem wird bei Unternehmen, die weniger als drei Jahre existieren, ein Nachweis über ein aktives Geschäftskonto angefragt. Telefonisch wird geprüft, ob der in der Bestellung genannte Ansprechpartner tatsächlich existiert und die Telefonnummer eines Unternehmens muss in einem öffentlichen Telefonbuch eingetragen sein.

EV SSL-Zertifikate

Die dritte und auch höchste Validierungsstufe sind die Extended Validation-Zertifikate (EV-Zertifikate). Hier wird nicht nur die Domains validiert, sondern die Website-Besucher auch noch zusätzlich optisch darauf hingewiesen, dass sie eine sehr stark gesicherte Seite betreten. Den grünen Balken mit Schloss und dem Unternehmensnamen haben Sie sicherlich schon bei verschiedenen Banken und Shops gesehen. Hier zum Beispiel bei der Commerzbank:

Macht es also doch Sinn ein großes SSL EV Zertifikat zu nehmen oder wäre kein SSL EV Zertifikat nicht die bessere Option?

EV-Zertifikate sind stets mit 256 Bit verschlüsselt. Der Validierungsprozess für EV-SSL Zertifikate ist allerdings mit denen bei organisationsvalidierten Zertifikaten beschriebenen Schritten identisch.

Wir halten fest: Alle diese SSL Zertifikate unterscheiden sich nur darin, wie sie die Inhaberschaft und deren Authenzität überprüfen.

Klar macht es natürlich Sinn, vor allem bei Firmen, diese zusätzlichen Infos, wie Adresse, Handelsregister und Telefonkontakt durch einen seriösen Zertifikatsaussteller prüfen zu lassen. Immerhin macht das eine Marke bzw. ein Unternehmen authentischer und damit vertrauenswürdig. Es gibt nur ein Problem an der Sache.

Geringe öffentliche Wahrnehmung

Die wenigstens Webseitenbesucher kennen die oben beschriebenen Unterschiede. Und Sie nehmen oftmals die zusätzliche Absicherung, durch das größere EV-Zertifikat, kaum wahr. Normale Benutzer informieren sich nicht zu den Details einer Zertifizierung oder den Unterschieden bei der Validierung.

Den meisten Internetnutzer genügt der Blick auf das kleine, grüne Schloss, um eine Webseite als vertrauenswürdig anzunehmen. Und dagegen ist auch nichts einzuwenden. Die meisten großen Internetfirmen haben genau aus diesem Grund auch bereits keine EV-Zertifikate mehr im Einsatz. Aufgefallen ist das nur Wenigen. Das zeigt wie wenig wir tatsächlich darauf achten.

Hinzu kommt das mit einem der letzten Browserupdates von FIREFOX sowie CHROME die grünen Balken überhaupt nicht mehr so präsent hervorgehoben sind, wie das noch vor ein paar Jahren der Fall war. Heutztage ist ein EV-validiertes Zertikat nämlich eher unscheinbar und fällt damit auch kaum mehr in der Browserzeile auf:

Da fragt man durchaus berechtigt, ob es sinnvoll kein SSL EV Zertifikat kaufen zu wollen?

100% Sicherheit gibt es nicht

Ein EV-Zertifikat ist vielleicht die am besten überprüfte Variante unter den SSL Zertifizierungen. Aber das heißt dennoch nicht das sie zu 100% Sicherheit über die Identität eines Unternehmens gibt. Inzwischen ist klar, dank Ian Carroll und dem STRIPE-Experiment, das selbst eine EV-Zertifizierung nicht absolute Gewissheit über die Identität eines Unternehmens bietet.

I got an extended validation certificate for "Stripe, Inc" but in another state. Can you tell the difference?

More: https://t.co/soIxWGwovs pic.twitter.com/4BXDdeg2h1

— Ian Carroll (@iangcarroll) December 11, 2017

Das Problem, so erklärte Carroll in einem seiner Blogbeiträge dazu ist, dass es eben viel zu leicht sei, unter dem gleichen Namen wie ein großes Unternehmen zu agieren und somit auch deren EV-Zertifikat zu imitieren. Indem er die Firma „Stripe, Inc“ in Kentucky validieren ließ imitierte er spielend einfach die  Multimillionen-Dollar- Payment Firma „Stripe, Inc“ in Delaware.

Für Benutzer schwierig oder eigentlich fast schon unmöglich Fälschung von Original zu unterscheiden. Diese Tatsache kann theoretisch auch ein Hacker ausnutzen. An diesem Punkt war die Option kein SSL EV Zertifikat kaufen durchaus eine plausible Frage und regte online zu großen Diskussionen an.

EV-Zertifikate sind nicht die Zukunft

Nachdem inzwischen so deutlich wurde das EV-Zertifkate nicht wirklich die bessere Alternative sind können wir auch festhalten, dass sie sich in Zukunft nicht mehr behaupten werden. Dessen sind wir uns sicher. Auch die ersten Banken sind bereits davon abgewichen und die Entwicklung wird nicht mehr aufzuhalten sein. Auch wenn das die meisten Cert’s so gar nicht gerne hören wollen.

Tun Sie es den großen Onlinefirmen gleich und sparen Sie sich das Geld.

Kein SSL EV Zertifikat kaufen!

Es ergibt sich daraus für Sie kein Nachteil. Denn Technisch gibt es keinen Unterschied zwischen den drei oben erklärten Zertifkatsvarianten! Einzig die hervorgehobene Anzeige unterscheidet die Zertifikate bisher. Diese Möglichkeit ist durch die Browserupdates inzwischen ebenfalls stark geschwächt. Die besondere Hervorherbung, mit der Cert’s oft groß werben, gibt es also gar nicht mehr.

Wenn also das Erneuerungsdatum Ihres EV-Zertifikates ansteht, dann ist unsere Empfehlung: Wechseln sie besser auf ein kostensloses SSL-Zertifkat von Let’s Encrypt. Wir sind Ihnen gerne bei der Umstellung behilflich. Unser Support Center steht Ihnen gerne für Ihre Anfrage offen.