Fristsetzung für SSL-Zertifikate: Sind Sie bereit für die Google-Neuerungen?

Von 26. September 2018Domains

Ein SSL-Zertifikat (alias Secure Socket Layer) ist im Prinzip ein Satz kryptografischer Protokolle, die der Kommunikationssicherheit in einem Computernetzwerk dienen. Bankdaten, Kreditkartennummern und andere private Daten, die über den Internetbrowser des Benutzers auf den Server einer Website übertragen werden, werden verschlüsselt, um Datendiebstahl zu verhindern. Und, dank des Engagements von Google für mehr Sicherheit und Schutz im Internet gehören SSL-Zertifikate zunehmend zu unserem Alltag im World Wide Web.

Immer mehr Websitebetreiber und -entwickler nutzen SSL-Zertifikate, vor allem jene, die HTTPS-Verschlüsselung bieten (im Gegensatz zur bislang üblichen HTTP-Verschlüsselung). HTTPS (HyperText Transfer Protocol Secure) bietet eine durchgängige Verschlüsselung aller Daten, die über eine Website verschickt und empfangen werden, und schützt die Benutzer so vor kriminellem Missbrauch.

Heutzutage wird mehr oder weniger erwartet, dass jeder HTTPS-Verschlüsselung bietet. Kunden sind zunehmend besorgt, wenn es um das Teilen von sensiblen Daten über das Internet geht, und achten penibel auf vertrauensvermittelnde Indikatoren wie das grüne Vorhängeschloss oder andere gängige Siegel vertrauenswürdiger Websites. Und wenn Sie diese Erkennungszeichen nicht bieten, überlegt der Kunde nicht lange und wechselt zu einem anderen, sichereren Anbieter. In der Tat ist es so, dass Google seine User regelrecht ermutigt, so zu handeln.

Google macht Ernst in Sachen HTTPS-Verschlüsselung

Ein SSL-Zertifikat ist eine einfache, kosteneffektive Methode für Websitebetreiber, einen sicheren Rahmen für seine Online-Transaktionen zu schaffen. Und außerdem werden alle, die keine HTTPS-Verschlüsselung bieten, von Google ab sofort ins Aus gekickt.

Der Suchmaschinengigant hat sein Engagement für mehr Sicherheit im Internet intensiviert und SSL-Zertifikate sozusagen zu einem Must-have gemacht. Dazu muss man nur einen kurzen Blick auf diese Chrome-Updates werfen.

Chrome 68, Veröffentlichung Juli 2018

Seit der Veröffentlichung von Chrome 68 im Juli 2018 werden alle Websites ohne HTTPS-Verschlüsselung von Google als „nicht sicher“ gekennzeichnet. Und nicht nur das, der Benutzer sieht außerdem in seinem Browser weder das gewohnte Vorhängeschloss noch den grünen Text oder das HTTPS, das anzeigt, dass es sich um eine vertrauenswürdige Seite handelt. Anders ausgedrückt ist dem Benutzer sofort klar, dass die Seite keinen Schutz für das Teilen persönlicher Daten bietet.

Quelle: Screenshot am 9. Juli 2018 und https://www.blog.google/products/chrome/milestone-chrome-security-marking-http-not-secure/

Chrome 69, Veröffentlichung September 2018

Ab der Veröffentlichung von Chrome 69 wird dem Benutzer in seinem Browser der grüne Schriftzug „sicher“ nicht mehr angezeigt, der aktuell noch auf Seiten, die HTTPS nutzen, zu sehen ist. (Über kurz oder lang wird auch das grüne Vorhängeschloss verschwinden.) Die Sicherheit an sich verändert sich jedoch nicht. Im Grunde genommen macht Google seine User darauf aufmerksam, dass HTTPS der neue Standard ist, und dass sie, sofern kein anderslautender Hinweis erscheint, beruhigt sein können, dass die jeweilige Seite die richtige Verschlüsselung benutzt, ohne diesen Aspekt zu sehr in den Mittelpunkt zu rücken.

Quelle: Screenshot am 09. Juli 2018 und https://www.blog.google/products/chrome/milestone-chrome-security-marking-http-not-secure/

Chrome 70, Veröffentlichung Oktober 2018

Ab Chrome 70 bekommen die Benutzer eine rote „nicht sicher“-Warnmeldung zu sehen, sobald sie sich daran machen, Daten auf einer unsicheren HTTP-Seite einzugeben. Zuvor hat sich Google diesen Schritt vorbehalten, da die Nutzung von HTTP zu weit verbreitet war und es demzufolge unrealistisch gewesen wäre, jede Seite mit einer Warnmeldung zu versehen. Jetzt jedoch, wo sich HTTPS als Standard etabliert hat, macht Google Ernst.

Quelle: Screenshot vom 09. Juli 2018 und https://www.blog.google/products/chrome/milestone-chrome-security-marking-http-not-secure/

Mit den SSL-Zertifikaten von EBRAND bleibt Ihnen Google wohlgesonnen

EBRAND Services bietet 3 verschiedene SSL-Zertifikate mit unterschiedlichem Online-Sicherheitsniveau je nach Ihren individuellen Bedürfnissen. Alle Zertifikate bieten HTTPS-Verschlüsselung, werden von Google Chrome unterstützt und sind einfach zu aktivieren.

SSL mit Domainvalidierung

  • Ideal für Blogs, soziale Netzwerke und private Websites.
  • Konfiguriert mehrere Domainnamen, die über verschiedene IP-Adressen laufen.
  • Eine kostengünstige Option, die im Handumdrehen eingerichtet ist.

SSL mit Organisationsauthentifizierung

  • Ideal für Firmenwebsites.
  • Unternehmensauthentizität bestätigt durch unsere Zertifizierungsstelle GlobalSign als Garantie für die Benutzer, dass es sich um eine legale Seite handelt und keine Betrügerseite.
  • Bietet ein höheres Authentifizierungsniveau als das Zertifikat mit Domainvalidierung.

SSL mit erweiterter Validierung

  • Ideal für E-Commerce und Online-Banking.
  • Strengerer Prüfungs- und Validierungsprozess, der jährlich vorgenommen wird.
  • Bietet das höchste verfügbare Sicherheitsniveau.

Wildcard-Option

  • Wildcard-Option verfügbar für Ihren primären Domainnamen sowie eine unbegrenzte Anzahl an Subdomains und zugehörige Server.
  • Die ideale Lösung für jedermann, der mehrere Seiten bzw. Websites und Server betreibt, da alle unter einem einzigen Root-Domainnamen geschützt werden.
  • Verfügbar für Domain- und Organisationsvalidierung.

SSL-Zertifikat ist nicht gleich SSL-Zertifikat

Vergewissern Sie sich, dass Sie Ihr SSL-Zertifikat von einem vertrauenswürdigen, renommierten Anbieter beziehen. In der Vergangenheit hat sich herausgestellt, dass nicht alle SSL-Anbieter mit fachgerechten Verfahrensweisen arbeiten.

Mit schlechtem Beispiel vorangegangen sind alleine im vergangenen Jahr die Anbieter GeoTrust, RapidSSL und Thawte, die einräumen mussten, dass sie bei der Ausgabe bestimmter Zertifikate nicht nach den branchenüblichen Vorgaben arbeiten. Darauf reagierte Google prompt und kennzeichnete alle Websites, die diese Zertifikate nutzen, mit einer ziemlich beunruhigenden Warnmeldung:

Quelle: Screenshot vom 09. Juli 2018 und https://security.googleblog.com/2018/03/distrust-of-symantec-pki-immediate.html

Mit EBRAND sind Sie auf der sicheren Seite. Wir arbeiten mit der international renommierten und von WebTrust akkreditierten Zertifizierungsstelle GlobalSign, die für ihre hohen Verschlüsselungsstandards bekannt ist.

Wenn Sie Beratung bei der Auswahl des richtigen SSL-Zertifikats für Ihre Bedürfnisse benötigen oder einfach nur allgemeine Fragen zu SSL haben, können Sie sich jederzeit an uns wenden. Wir stehen Ihnen jederzeit gerne mit Rat und Tat zur Seite!

Lutz Berneke
Group CEO bei EBRAND Services S.A.
Lutz Berneke ist Group CEO der EBRAND Services Unternehmensgruppe, mit Hauptsitz in Luxemburg.