SSL-Zertifikate

Grundwissen über Server Zertifikate

Seitdem Google und auch der Gesetzgeber das Vorhandensein eines SSL-Zertifikates für eine WebSite verlangen, haben wohl die meisten WebSites irgendein SSL-Zertifikat. Aber ist damit alles auch erledigt? Ja, denken die meisten. Doch die richtige Antwort lautet: Nein. Warum das so ist, wollen wir uns einmal etwas genauer ansehen. Kommen Sie also mit auf die Tour der „Nebensächlichkeiten“. Dabei erfahren Sie, was für Sie noch alles auf der „To-Do-Liste“ steht.

Was ist ein Server-/SSL-Zertifikat?

Informationen über erlaubte Hosts, CAs und GültigkeitEin SSL-Zertifikat beinhaltet Informationen zu einer Domain, einem Host oder einer Firma/Organisation. Das Zertifikat bestätigt unter anderem, welchen Host (z.B. www.bb-one.net) man gerade mit dem Browser besucht. Oder mit welchem Host der eMail-Client gerade kommuniziert und Mails abholt und/oder versendet.

Zertifikat - originale TextdateiEin SSL-Zertifikat besteht technisch gesehen aus einem codierten Text. Dieser wird bei der Kommunikation zwischen einem Server (Web-Server, Mail-Server) und einem Client (Web-Browser, Mail-Client) abgefragt und übertragen. Zeitgleich werden mit dem Zertifikat auch Informationen zur Gültigkeit und zum Ausgeber des Zertifikates übermittelt.

Es gibt verschiedene Klassen von SSL-Zertifikaten. Sie unterscheiden sich in der Aussagekraft des Zertifikats. Demnach bestätigen die einfachsten Zertifikate lediglich eine Domain bzw. einen Host (bb-one.net, ist laut Definition auch für www.bb-one.net gültig). Andere hingegen bestätigen die dahinter stehende Organisation (BB-ONE.net GmbH). Und wieder andere bestätigen beliebige Hosts unterhalb einer Domain (*.bb-one.net). Somit haben wir im wesentlichen also drei Zertifikatsklassen.

Wie beantragt man ein Zertifikat?

Natürlich könnten Sie sich rein theoretisch ein Zertifikat auch selbst erzeugen. Technisch gesehen kann das genauso gut sein wie ein Zertifikat, welches eine sogenannte Certificate Authority (CA) ausgestellt hat. Allerdings haben selbst erzeugte Zertifikat große Akzeptanzprobleme, weil Ihnen als Aussteller niemand eine bescheinigte Glaubwürdigkeit abnimmt. Deshalb ist mit einer Ablehnung von Web-Browsern und Mail-Cients fest auszugehen.

Zu einem aussagefähigen SSL-Zertifikat, ausgestellt von einer CA, kommen Sie mit den folgenden Arbeitsschritten:

  1. Auf dem Server wird ein Schlüsselpaar erzeugt: ein privater und ein öffentlicher Schlüssel
  2. Daraufhin wird eine Anforderungsdatei erzeugt und mit dem öffentlichen Schlüssel unterschrieben.
  3. Die beauftragte CA übernimmt diese Anforderungsdatei und überprüft, ob sie für die Domain ein Zertifikat erzeugen darf (siehe weiter unten). Dazu gehört auch, ob ein entsprechend codierter DNS-Eintrag vorliegt. Diesen muss der DNS-Verwalter umzusetzen, also Ihr Domain-Provider oder Hoster.
  4. Nachdem die CA das Vorhandensein des DNS-Eintrags überprüft hat, wird das Zertifikat erzeugt und dem Antragsteller übergeben.

Wer ist eine ‚Certificate Authority‘?

Eine Certificate Authority ist eine Firma oder eine Organisation, die ihrerseits eine erstklassige, von Dritten bestätigte Reputation haben sollte. Darüber hinaus muss diese Organisation die Technik, mit der sie Zertifikate ausstellt, nach bestimmten Vorgaben betreiben. Der damit verbundene Aufwand ist erheblich.