Sichere SSL-Zertifikate: Worauf zu achten ist!

„Gefälschte Zertifikate ausgestellt“, „Suchmaschinenbetreiber misstraut Zertifikaten“, „Marktführer trennen sich von ihren Zertifikate-Geschäften“: Die Schlagzeilen der letzten Monate rund um das Thema SSL-Zertifikate haben Anwender stark verunsichert.

Viele fragen sich zu Recht, wie man sichere Angebote erkennt und einen vertrauenswürdigen Anbieter findet. Dr. Kim Nguyen, Geschäftsführer der D-TRUST GmbH – Trustcenter und Vertrauensdiensteanbieter der Bundesdruckerei GmbH – gibt fünf praktische Ratschläge.

Anzeige

Praxistipp 1: „Drum prüfe, wer sich ewig bindet“

Die sichere Kommunikation und Datenübertragung von Server-to-Server oder Client-to-Server gehört bei vielen Unternehmen zu den geschäftskritischen Anwendungen – sie sorgt für reibungslose Prozesse – beispielsweise bei der Wartung in Produktionsbetrieben oder bei Bezahlvorgängen in Online-Shops. Es ist deshalb ratsam, regelmäßig die bestehenden Geschäftsbeziehungen mit der Certificate Authority (CA), die Ihnen Ihre Zertifikate bereitstellt, zu überprüfen. Und ist ein Wechsel notwendig: Nehmen Sie sich Zeit bei der Auswahl eines neuen Anbieters. Fragen Sie zum Beispiel, mit welchen Browsern und Geräten die angebotenen Zertifikate kompatibel sind und wie lange das Unternehmen schon SSL-Zertifikate ausstellt. Einige Zertifizierungsstellen lagern einen Teil der notwendigen Prüfprozesse aus. Das erhöht die Wahrscheinlichkeit fehlerhaft ausgestellter Zertifikate. Zu bevorzugen sind darum jene Stellen, die die gesamte Prozesskette – vom Antrag über die Prüfung bis hin zur Ausstellung – selbst in der Hand haben.

Praxistipp 2: Webseitenzertifikate sind nicht gleich Webseitenzertifikate

Domainvalidierte SSL-Zertifikate bieten das niedrigste Sicherheitsniveau. Es wird in der Regel lediglich per E-Mail geprüft, ob der Auftraggeber auch der Domaininhaber ist. Domains sollten im B2B-Umfeld deshalb mindestens eine Organisationsvalidierung vorweisen. Dabei müssen Unternehmen mit entsprechenden Dokumenten ihre Identität und die Domaininhaberschaft nachweisen. Den höchsten Verifizierungsstandard mit der größten transparenten Sicherheit für die Anwender bieten sogenannte Extended Validation-Zertifikate, kurz EV-Zertifikate. Webseiten, die EV-Zertifikate vorweisen, erkennt man an der grün eingefärbten Adressleiste. Sie sehen neben Domaincheck und Organisationsvalidierung zusätzlich einen individuellen Identitätsnachweis des Antragstellers vor. Dabei wird geprüft, ob dieser tatsächlich bei der Organisation angestellt ist und ob er die Befugnis hat, ein EV-Zertifikat zu erwerben. Eine besondere Form der EV-Zertifikate sind die neuen qualifizierten Webseitenzertifikate gemäß eIDAS-Verordnung. Neben den bestehenden Vorgaben für EV-Zertifikate sehen qualifizierte Webseitenzertifikate regelmäßige Prüfungen und eine strenge Kontrolle der Zertifizierungsstelle durch eine nationale Aufsichtsbehörde vor.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Praxistipp 3: „Made in Germany“ bevorzugen

Das Vertrauen in ausländische Anbieter ist durch verschiedene Sicherheitsvorfälle erschüttert. Zertifizierungsstellen mit Standort in Deutschland bieten Ihnen hier doppelte Sicherheit: Die Sicherheit, dass die Prüfungsregelungen bei der Ausstellung von Zertifikaten konsequent umgesetzt werden sowie die Sicherheit eines qualifizierten Support in der Landessprache. Doch auch hier gilt es genauer hinzuschauen. Bevorzugen Sie CA’s, die eine gesicherte Marktpräsenz besitzen sowie umfangreiche Erfahrungen und ein ausgeprägtes Know-how vorweisen.
Besonders vertrauenswürdige und kompetente Zertifizierungsstellen erhalten laut eIDAS-Verordnung den Status eines qualifizierten Vertrauensdiensteanbieters. Nur dieser erfüllt die verschärften Anforderungen der Verordnung an Sicherheit und Haftung. Dazu gehören beispielsweise die Meldung von Sicherheitsvorfällen innerhalb von 24 Stunden, die Gewährleistung von Datenschutz und Datensicherheit sowie der Einsatz von IT-Systemen, die diese Anforderungen erfüllen.

Anzeige

Praxistipp 4: Flexibel in der Anwendung und bei der Bezahlung

Vorteile in der Praxis bieten Produktsortimente, mit denen Sie flexibel Ihre unterschiedlichsten Anforderungen abdecken können – von organisationsvalidierten Webservern (SSL OV) oder solche mit Identifizierungsprozessen nach dem „Extended-Validation-Standard“ (SSL EV) bis hin zu qualifizierten Webseitenzertifikaten gemäß der europäischen eIDAS-Verordnung. Wichtig ist auch die Unterstützung von Wildcard-Zeichen, mit denen Sie beispielsweise in Shared Hosting- oder Intranet-Umgebungen beliebig viele Subdomains einer Hauptdomain absichern können. Ein weiterer praktischer Anwendungsfall ist die Möglichkeit, multiple Antragstellernamen (SAN-Einträge) zu verwenden. Dies erlaubt zum Beispiel den Einsatz des Zertifikats in Exchange-Umgebungen. Viele CA’s rechnen die Bereitstellung von Zertifikaten im Pre-Paid-Verfahren ab. Dann kann es jedoch passieren, dass Ihr Kontingent gerade dann erschöpft ist, wenn Sie ein neues Zertifikat benötigen. Flexibler ist darum eine nutzungsbasierte Abrechnung, bei der Sie unbegrenzt Zertifikate abrufen können. Und nur genau das bezahlen, was Sie tatsächlich im Jahr einsetzen.

Praxistipp 5: Finger weg von billigen Angeboten

Einige Anbieter im Markt versuchen über einen besonders niedrigen Preis SSL-Zertifikate zu vermarkten bzw. einige Webhoster geben beim Kauf eines Hosting-Pakets ein kostenloses SSL-Zertifikat dazu. Von diesen Angeboten ist dringend abzuraten. Wer nur nach dem billigsten Angebot schaut, muss immer Abstriche bei den Sicherheitsanforderungen hinnehmen und darf keine Hilfe während der Zertifikate-Laufzeit erwarten. Entscheiden Sie sich daher für das Angebot, das den besten Gesamtwert aufweist. Wichtig sind ein leistungsfähiger Service & Support, der Ihnen bei allen Fragen rund um Beantragung, Installation und Betrieb der SSL-Zertifikate weiterhilft und das in deutscher Sprache innerhalb der mitteleuropäischen Zeitzone.

Ein weiterer Mehrwert sind Plattformen für ein effizientes Management von Zertifikaten, die Ihnen der CA-Anbieter zur Verfügung stellt. Das sind hochsichere 24/7 Software-as-a-Service-Anwendungen, die eine zentrale Verwaltung und maximale Kostenkontrolle Ihres Zertifikatsbestandes bieten. Mit diesen Lösungen lassen sich Prüfprozesse von Zertifikatsdaten mit sekundenschnellen Reaktionszeiten bei der Zertifikatsauslieferung miteinander verbinden.

Dr. Kim Nguyen
Dr. Kim Nguyen, Geschäftsführer der D-TRUST GmbH

 

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.