Kundenlogin
SSL-Zertifikate: Kostenpflichtig vs. kostenlos

SSL-Zertifikate: Kostenpflichtig vs. kostenlos

Gründe für ein SSL-Zertifikat gibt es genug: SSL-Zertifikate bieten Schutz vor Hackern, wirken sich positiv auf das Google-Ranking der Webseite aus und Browser markieren Webseiten ohne SSL-Zertifikat als unsicher.  Da Sie sich aber zwischen einem kostenpflichtigen und einem kostenlosen SSL-Zertifikat entscheiden können, möchten wir Ihnen in diesem Beitrag zeigen, wie sich solche SSL-Zertifikate voneinander unterscheiden.

Wie funktioniert die SSL-Verschlüsselung überhaupt?

Das Verschlüsselungsverfahren ist bei kostenlosen und kostenpflichtigen Zertifikaten gleich: Zuerst authentifiziert sich der Server bei dem Client als Zertifikatsinhaber. Anschließend werden zwischen Client und Server Schlüssel ausgetauscht, mit denen der Datentransfer chiffriert wird. Die Daten werden mit einem öffentlich zugänglichen Schlüssel chiffriert und eine Dechiffrierung ist nur mit einem privaten Schlüssel möglich. Diese Schlüssel werden während der gesamten Kommunikation zwischen Client und Server regelmäßig erneuert.

Wie unterscheiden sich kostenlose Zertifikate von kostenpflichtigen?

Bei den kostenlosen SSL-Zertifikaten handelt es sich um Zertifikate, welche von einer Zertifizierungsstelle wie z.B. Let’s Encrypt ausgestellt werden. Let’s Encrypt stellt domainvalidierte (DV) SSL-Zertifikate aus: Bei der Ausstellung eines solchen Zertifikats wird nur der Besitz der Domain überprüft und diese Prüfung wird automatisch vorgenommen.

Die Let’s Encrypt Zertifikate sind in unsere Webhosting und Reseller Tarife mit Plesk sowie unsere Flex Server mit Plesk inkludiert.

Leider bergen diese kostenlosen Zertifikate potentiell auch Gefahren: Inzwischen nutzen Hacker SSL/TLS-Zertifizierungen, um mit gefälschten Phishing-Webseiten über HTTPS vorzugeben, die offizielle Website zu sein. Bei öffentlichen Websites empfiehlt sich also die Verwendung eines kostenpflichtigen SSL-Zertifikats.

Im Gegenzug dazu stehen die organisationsvalidierten (OV) und die Extended-Validation (EV) Zertifikate. Diese Zertifikate weisen aus, dass hinter dem Zertifikat ein Unternehmen steht. Im Gegensatz zu den DV-Zertifikaten prüfen die Mitarbeiter der Zertifizierungsstelle hier manuell durch einen Telefonanruf und das Prüfen eines Handelsregisterauszuges die Identität des Unternehmens.

Wo liegt der Unterschied zwischen OV- und EV-Zertifikaten?

Organisationsvalidiert (OV)

Bei organisationsvalidierten SSL-Zertifikaten wird neben dem Besitz der Domain noch der eingetragene Unternehmensname und Unternehmensstandort geprüft. Diese Informationen sind in sofern im Zertifikat hinterlegt, als dass jeder Webseitenbesucher diese Informationen durch das Anzeigen des Zertifikates einsehen kann.

Extended Validation (EV)

Ein Extended Validation-Zertifikat liefert die ausführlichste Validierung der Webseitenidentität: Neben den Informationen, welche bei einem OV-Zertifikat abgefragt werden, enthalt das Zertifikat zusätzliche Informationen über die physische und betriebliche Existenz sowie den rechtlichen Status des Unternehmens.

In Firefox beispielsweise ist ein solches EV-Zertifikat ersichtlich, wenn Sie nach einem Klick auf das Schloss sehen können, dass das Zertifikat für ein bestimmtes Unternehmen ausgestellt wurde:

 

Es empfiehlt sich also, die Wahl des richtigen Zertifikats an den Sicherheitsbedürfnissen der jeweiligen Webseite fest zu machen. Sollten Sie sich dennoch nicht sicher sein, welches SSL-Zertifikat Sie benötigen, beraten wir Sie gerne zur richtigen Wahl per E-Mail, Telefon oder Beratungstermin.

 

Grafik von qimono / pixabay.com