SSL für zusätzliche Sicherheit

Warum die Agentur am Wasser alle Kunden-Websites mit einem SSL-Zertifikat sicher macht

SSL-Sicherheit – ja oder nein?

Eine Frage, die sich für Sie nicht stellt: SSL gehört bei der Agentur am Wasser zum Standard. Ohne zusätzliche Kosten. Weil wir damit einen Beitrag leisten zu erhöhter Sicherheit im Internet. Und damit konkret zum Schutz Ihrer Daten und den Daten Ihrer Kunden.

Was ist SSL?
SSL ist ein Sicherheitsprotokoll, welches dafür sorgt, dass die Kommunikation zwischen Website (Server) und Betrachter (Browser) verschlüsselt stattfindet. Das bedeutet, dass ein potenzieller "Mithörer" nicht mitbekommen kann, was auf der Website angesehen wird oder welche Daten in ein Formular eingegeben und übertragen werden. Mit anderen Worten: SSL sorgt für zusätzliche Sicherheit beim Austausch von Daten zwischen Website und Besuchern.

Woran erkennt man Websites mit SSL?
An der URL. Steht "http://" vor der www-Adresse, ist die Website nicht SSL-gesichert. Bei "https://" und dem sichtbaren Schloss-Icon ist die Website SSL-gesichert und die Daten werden verschlüsselt übertragen. 

Worin liegt der Unterschied zwischen HTTP und HTTPS?
HTTP ist das Protokoll, mit dem Websites übertragen werden. Das zusätzliche "S" steht für "secure", also "sicher". Es bedeutet, dass der Datenverkehr zwischen Website (Server) und dem Betrachter (Browser) über eine SSL-gesicherte Verbindung abgewickelt wird. Im Resultat: der Austausch von Daten zwischen der Website und deren Nutzern ist verschlüsselt und damit sicher.

SSL oder TLS?
SSL heisst Secure Socket Layer und ist eigentlich veraltet. Heute verwenden wir TLS (Transport Layer Security) – eine Weiterentwicklung von SSL. Der Begriff SSL hat sich jedoch eingebürgert und hält sich hartnäckig. Deshalb sprechen auch wir weiterhin von SSL, um keine Verwirrung zu stiften.

Wie funktioniert und was bewirkt SSL?
Beim Aufbau einer SSL-Verbindung werden ausgeklügelte Mechanismen aktiviert. Ein sehr technischer Ablauf, deshalb hier nur verkürzt und in verständlichen Worten erklärt:

Beim Aufruf der Website ist die Verbindung noch nicht verschlüsselt – eine sogenannte "unsichere Leitung". Als erstes authentifiziert sich der Server über ein SSL-Zertifikat, welches der Client (Browser des Besuchers) überprüft. Ist das Zertifikat gültig und damit vertrauenswürdig, vereinbaren Client und Server zusammen einen gemeinsamen Schlüssel (TLS Handshake Protocol). Sobald dieser kryptografische Schlüssel errechnet worden ist, kann der komplette Datenverkehr damit verschlüsselt werden. Nun ist die "sichere Verbindung" etabliert, man spricht dabei von symmetrischer "Ende-zu-Ende"-Verschlüsselung. Erst jetzt können weitere Daten sicher und geschützt ausgetauscht werden, in unserem Fall natürlich die Website-Inhalte. Der beschriebene Vorgang läuft im Hintergrund und in Sekundenbruchteilen ab, der Website-Besucher bekommt davon nichts mit. Ausnahme: das sichtbare "https://" vor der Webadresse und das Schloss-Icon in der Adresszeile.

Falls Sie tiefer ins Thema einsteigen möchten: Details finden Sie hier

Wie sicher ist SSL?
Das Design von SSL ist grundsätzlich sehr sicher. Die tatsächliche Sicherheit hängt massgeblich von den Einstellungen der Server ab. Unsere Server sind so konfiguriert, dass sie grundsätzlich nur wirklich sichere Verbindungen zulassen. Mit regelmässiger Wartung gewährleisten wir laufend, dass die Sicherheit auch gegenüber neu entdeckten Angriffsvektoren bestehen bleibt.

Wie kann die Wirksamkeit überprüft werden?
Die SSL-Sicherheit einer Website kann hier überprüft werden (der Test dauert einige Minuten): https://www.ssllabs.com/ssltest/

Von der Agentur am Wasser gehostete und betreute Websites erhalten bei ssllabs.com durchwegs das Ranking A, das entspricht der Bestnote.

Was ist ein SSL-Zertifikat?
Digitale Zertifikate, die dazu dienen, eine Website unter einem bestimmten Domainnamen zu authentifizieren. Diese Authentizitätsprüfung findet automatisch beim Verbindungsaufbau zur Website statt. SSL-Zertifikate werden von offiziellen Zertifizierungsstellen ausgestellt. Sie sind in verschiedenen Ausführungen erhältlich.

Details zum Zertifikat und Inhaber
Über den Klick auf das Schloss-Icon in der Adresszeile des Browsers öffnet sich ein Fenster mit Details zum ausgestellten Zertifikat. Dort finden sich Informationen zum Aussteller, zum Inhaber, zur Gültigkeit, zum Ablaufdatum und mehr.

Was ist Let’s Encrypt?
Die Agentur am Wasser setzt verschiedenartige Zertifikate ein, in der kostenlosen Standard-Ausstattung Zertifikate von Let's Encrypt. Let’s Encrypt ist eine Zertifizierungsstelle für SSL-Zertifikate. Der Dienst wird von der Non-Profit-Organisation Internet Security Research Group (ISRG) zur Verfügung gestellt. Von Let’s Encrypt können einfache SSL-Zertifikate kostenlos, automatisiert, transparent und sicher bezogen und eingesetzt werden.

Agentur am Wasser: Encrypted!
Seit Sommer 2016 werden die Websites für unsere Kunden standardmässig mit SSL ausgestattet. Ohne Mehrkosten. Sämtliche bestehenden Kunden-Websites in Betrieb wurden kostenlos auf- und nachgerüstet. Unsere Kunden haben die Wahl: mit im Hosting inbegriffen ist ein Zertifikat von Let’s Encrypt. Auf Wunsch können optional Zertifikate der Stufe „Organisation Validated“ (OV) oder „Extended Validation“ (EV) bezogen werden. Bei OV- und EV-Zertifikaten fallen zusätzliche Kosten an.

Ihre Website ist sicher und geschützt mit SSL, mit weniger brauchen Sie sich nicht zufrieden zu geben.

Tipp

Über SSL-Sicherheit brauchen Sie sich als Kunde der Agentur am Wasser keine Gedanken zu machen, die liefern wir als Standard mit. Wenn Sie zusätzliche Sicherheits-Stufen wünschen, fragen Sie uns, wir beraten Sie gerne.