Der Stichtag 25. Mai 2018 brachte für Webseiteninhaber nicht nur die Arbeit mit dem Thema Datenschutzgrundverordnung (DSGVO), sie müssen seitdem auch sicherstellen, dass personenbezogene Daten von Kunden im Umfeld iher Websites effektiv vor dem Zugriff Dritter geschützt werden. SSL-Zertifikate sind hier ein notwendiger Standard, denn sie verschlüsseln den Datenaustausch zwischen dem User auf der Webseite und dem Server.
Sicherheitslevel geben Hilfestellung
Grundsätzlich stehen Unternehmen drei verschiedene SSL-Zertifikate zur Verfügung, die sich in Bezug auf die Sicherheit voneinander unterscheiden oder auch bei unterschiedlichen Anwendungen vorgeschrieben sind. Bei Anfrage einer sogenannten „Domain Validation“ (auch bekannt als DV-Zertifikat) überprüft die beauftragte Zertifizierungsstelle, ob das beantragende Unternehmen wirklich als Inhaber der jeweiligen Domain eingetragen ist. Das Zertifikat wird umgehend aus- und bereitgestellt. Bei einer „Organization Validation“ (dem OV-Zertifikat) und auch bei einer „Extended Validation“ (dem EV-Zertifikat) wird darüber hinaus auch die Identität des Unternehmens validiert. Gerade das EV-Zertifikat ist die sicherste Variante mit der umfangreichsten Prüfung der Angaben.
Welches Zertifikat ein beantragendes Unternehmen wählt, muss nach den Aufgaben der jeweiligen Website und dem damit verbundenen Schutzbedürfnis beurteilt werden. Bei Seiten, die keine persönlichen Daten des Users abfragen, ist ein einfaches DV-Zertifikat ausreichend. Ist ein Login für die Nutzung der Website erforderlich, sollte die Seite möglichst immer mit einem OV-Zertifikat gesichert sein. Für alle E-Commerce- und Banking-Anwendungen ist das EV-Zertifikat verpflichtend vorgeschrieben.
Direkte Erkennung spielt eine wichtige Rolle
SSL-Zertifikate bieten neben der entscheidenden Sicherung des Datenverkehrs noch einen weiteren nicht zu unterschätzenden Vorteil: Sie signalisieren dem User visuell, dass er auf einer sehr vertrauenswürdigen Webseite unterwegs ist. So erscheint in allen Browsern in der linken oberen Ecke „https“ statt „http“ verbunden mit einem grünen Icon, das ein Vorhängeschloss zeigt, wenn ein SSL-Zertifikat im Einsatz ist. Bei einem EV-Zertifikat wird zusätzlich dazu auch der rechtsgültig eingetragene Name des Unternehmens in der Adresszeile grün hervorgehoben – bei manchen Browsern wird auch die komplette Adresszeile grün angezeigt. Die Entscheidung für oder gegen ein EV-Zertifikat im Unterschied zum kostensparenden DV-Zertifikat sollte somit nicht nur vor dem finanziellen Hintergrund werden. Die Markenverantwortlichen sollten auch immer bedenken, dass ein visuelles Sicherheitsmerkmal auch die Marke stützt und das Image nachhaltig erhöhen kann.
Seriöse Zertifizierungsstelle auswählen
Nicht ganz unwichtig ist die SSL- Zertifizierungsstelle (Certification Authority / CA genannt). Unternehmen sollten bei der Wahl der Zertifizierungsstelle wachsam sein, denn in den vergangenen Jahren gab es dabei auch schon einmal Probleme. Anbieter von Markenschutz-Lösungen und die Agenturpartner geben hier Hilfestellung und schlagen vertrauenswürdige CAs vor.
Laufzeit der SSL-Zertifikate beachten
SSL-Zertifikate beinhalten in der Regel eine Laufzeitbeschränkung – in den meisten Fällen auf zwei Jahre. Daraus ergibt sich für Firmen mit diversen Website-Domains ein nicht zu unterschätzender Archivierungs- und Dokumentationsaufwand. Helfen können und sollten hierbei Provider, die alle Zertifikate übersichtlich abbilden und zur gegebenen Zeit von sich aus darauf hinweisen, das Laufzeiten verlängert oder neue Zertifikate erworben werden müssen.
Suchmaschinen und Browser üben Druck aus
Aber nicht nur die die DSGVO sorgt für Neuordnungen beim Thema Zertifizierung: große Software-Konzerne wie Google oder Mozilla fordern Unternehmen über das Ranking der Website indirekt dazu auf, Websites mit SSL-Zertifikaten zu sichern. So stuft Google Websites mit einer Zertifizierung in der Suchmaschine um bis zu fünf Prozent höher ein als ungesicherte Seiten. Mozilla Firefox weist bereits mit dem Icon eines durchgestrichenen Schlosses den User darauf hin, dass es sich um eine nicht gesicherte Verbindung handelt, wenn die Zertifizierung fehlt. Google Chrome will in dieser Hinsicht ebenfalls zeitnah folgen. Beide Unternehmen denken weitergehend darüber nach, zukünftig erweiternde Browser-Features nur noch für gesicherte Seiten zur Verfügung zu stellen.
Hinterlasse einen Kommentar