SSL-Verschlüsselung
Die SSL-Verschlüsselung gehört heute zu den Standards einer Website. SSL-Zertifikate werden dafür genutzt, damit ein Browser eine verschlüsselte Verbindung zu einem Server, einer Domain aufbauen kann. Dafür muss er wissen, ob der Server auch zu dieser Domain gehört. SSL (Secure Socket Layer) ist also eine Methode, um die Authentifizierung einer Website zu verifizieren. SSL-Zertifikate bekommt man durch Zertifizierungsstellen, die Certification Authorities (CA). Ist die Zertifizierung erfolgt, werden die Nachrichten zwischen Browser und Server kryptographisch verschlüsselt. Dafür bekommt jede Domain einen privaten, Schlüssel, der auch nur für diese gilt.
Warum braucht man die SSL-Verschlüsselung?
Die SSL-Verschlüsselung wird üblicherweise bei HTTPS-Verbindungen verwendet Solche Verbindungen im Internet sind nötig, wenn sensible Daten an die Server gesendet werden. Online-Banking, Online-Shopping, auch E-Mails und soziale Netzwerke wären nicht möglich ohne eine Verschlüsselung. In jedem Fall, in dem ein Anwender einen passwortgeschützten Account hat, sind diese sicheren Verbindungen notwendig. Übrigens heißt die aktuelle Version der SSL-Verschlüsselungstechnologie TLS (Transport Layer Security). Dennoch hat sich die Bezeichnung SSL für beide Versionen im Sprachgebrauch festgesetzt.
Welche SSL-Zertifikate gibt es?
Das SSL-Zertifikat liefert Informationen über den Zertifikatsaussteller und den Inhaber der Domain. Die Aussteller überprüfen den Domain-Inhaber und weisen ihn als vertrauenswürdig aus. Das Zertifikat ist also ein Beleg für die Existenz, Vertrauenswürdigkeit und Ehrlichkeit des Website-Betreibers. SSL-Zertifikate gibt es in verschiedenen Varianten. Dabei sind vor allem die Validierungsstufen, auch Sicherheitsstufen interessant.
Domain Validation
Die Domain Validation (DL) ist die geringste Vertrauensstufe und validiert nur den Domainnamen. Man kann also nur sicher sein, dass die Anfrage von der Domain auch wirklich von dieser kommt. Weitere Informationen fragt das Zertifikat nicht ab. Es wird auch als Low-Assurance-Certificate bezeichnet.
Organizational Validation
Die Organizational Validation (OV) geht schon etwas weiter. Neben der Prüfung, ob der Inhaber der Domain existent ist, werden auch weitere Informationen wie die Identität und die Adresse geprüft. Um ein solches Zertifikat zu bekommen, muss man also nicht nur nachweisen, dass einem die entsprechende Domain gehört, sondern auch die Existenz der Firma und deren Anschrift nachweisen. Hierbei handelt es sich dann schon um ein High-Assurance-Certificate.
Extended Validation
Bei der Extended Validation (EV) geht die Prüfung von Informationen über den Domain-Inhaber und Anbieter eines Dienstes noch um einiges weiter. Um ein EV-Zertifikat zu bekommen, muss auch nachgewiesen werden, dass es sich um eine registrierte Organisation handelt, die über ein aktives Konto verfügt, welches geschäftsfähig ist. Hinzu kommt die Prüfung der Adresse und Telefonnummer sowie der Personen, welche das Zertifikat beantragt haben. Die Extended Validation-Zertifikate sind die umfangreichsten, und daher auch die teuersten. Für den Nutzer einer Website garantiert es aber auch die größtmögliche Sicherheit.
SSL-Verschlüsselung und SEO
Bis vor einiger Zeit wurden SSL-Zertifikate nur für sensible Bereiche einer Website wie dem Warenkorb oder beim Checkout eingesetzt. Im Bereich der Suchmaschinenoptimierung wurde die SSL-Verschlüsselung lediglich hinsichtlich des Problems des Duplicate Contents, welcher durch die Verwendung von HTTP und HTTPS zustande kommen könnte, diskutiert. Mit der SSL-Verschlüsselung als Rankingfaktor im Jahre 2014 änderte sich diese Sichtweise. Google hatte schon im Jahr 2011 seine Websuche auf HTTPS umgestellt.
Es geht also nicht mehr nur um die maximale Sicherheit für die Anwender, sondern auch um eine perfekte Suchmaschinenoptimierung. Eine SSL-verschlüsselte Webseite ist nun, nach der Übergangszeit, die Google Webmastern eingeräumt hat, um komplett auf SSL umzustellen, überaus wichtig, um in der Suchergebnisliste (SERPs) auch möglichst weit oben angezeigt zu werden. Websites, die immer noch nur mit HTTP erreichbar sind, werden als unsicher deklariert und können sogar gänzlich aus den Ergebnissen herausgenommen werden.