Was bedeutet Shared SSL? hosttest klärt auf

Die Verschlüsselung der Kommunikation erfolgt im Internet grundsätzlich über SSL-Zertifikate. Sie dienen in erster Linie dem sicheren Austausch von Daten, zusätzlich aber auch der Identifizierung der beiden Partner. Zu erkennen ist die Verschlüsselung direkt in einer Internetadresse durch ein vorgestelltes https:// statt http://, wobei HTTP für das verwendete Protokoll und das zusätzliche S für Sicher (Secured) steht.

Welche Aufgaben erfüllen SSL Zertifikate?

Spätestens seit 2015 ist es empfehlenswert, diesen Standard für alle Webseiten ein Webhosting mit SSL zu verwenden, da er bei dem Ranking von Suchmaschinen berücksichtigt wird. Seit dem Jahr 2016 lehnen zusätzlich viele populäre Browser wie Google Chrome oder Mozilla Firefox eine unverschlüsselte Verbindung generell ab, blenden Warnsignale ein oder verlangen eine explizite Zustimmung für die Darstellung der besuchten Webseite.

Allgemein müssen für eine sichere Kommunikation zwei Bedingungen erfüllt sein: Erstens muss der Inhalt vor dem Zugriff durch Dritte geschützt werden. Zweitens müssen sich beide Endstellen eindeutig identifizieren, damit Sender und Empfänger sicher sein können, dass sie (nur) mit dem ausgewählten Partner kommunizieren. SSL Zertifikate übernehmen beide Aufgaben, indem sie ein individuelles Schlüsselpaar für eine bestimmte Webseite erstellen, deren Authentizität durch eine unabhängige Institution wie Let's Encrypt bestätigt wird.

Die Verschlüsselung besitzt zudem die Möglichkeit, Daten über verschiedene Wege zu komprimieren, um die Geschwindigkeit zu optimieren. Eine generierte Prüfsumme gewährleistet, dass der Inhalt vollständig und unverändert übermittelt wurde. Dabei dienen SSL Zertifikate sowohl als öffentlich verfügbarer "Schlüssel" wie als "Fingerabdruck" für die beteiligten Computer. Die Art der Verbindung und die verwendeten Algorithmen werden bei jeder Verbindung von dem Protokoll Transport Layer Security (TLS) ausgehandelt.

Wie funktioniert die Kommunikation über SSL Zertifikate im Details?

Soll eine durch SSL Zertifikate gesicherte Verbindung aufgebaut werden, führen Server und Besucher einen sogenannten Three-Way Handshake (dreifachen Handschlag) durch. Dabei "begrüßen" sich beide Stellen, handeln die Art der Verschlüsselung untereinander aus und tauschen anschließend ihre individuellen SSL Zertifikate miteinander. Anschließend wird jede weitere Kommunikation nach sicheren Algorithmen verschlüsselt und kann von Dritten nicht mitgelesen oder manipuliert werden.

SSL Zertifikate bestehen aus einem öffentlichen und einem privaten Schlüssel und machen sich sowohl eine "symmetrische" wie "asymmetrische" Kryptografie zunutze. Bei dieser Art der Verschlüsselung wird eine Nachricht mit dem öffentlichen Schlüssel chiffriert und kann anschließend lediglich mit dem dazu gehörenden geheimen, privaten Schlüssel wieder in den Klartext umgewandelt werden. Es ist also nicht notwendig, ein gemeinsames "Passwort" zu verwenden, das beim ersten Kontakt ohne Verschlüsselung übertragen werden muss. Dadurch ist die Dechiffrierung von außen unmöglich, selbst falls die gesamte Kommunikation von Anfang an von einem Dritten aufgezeichnet wurde. Der öffentliche Schlüssel selbst kann ohne Bedenken versendet und öffentlich publiziert werden - etwa auf einer Webseite für die Verschlüsselung von E-Mails.

Zu Beginn der Verschlüsselung tauschen beide Stellen ihre SSL Zertifikate untereinander, die neben anderen Angaben den öffentlichen Schlüssel beinhalten. Der Client überprüft nun dessen Echtheit bei einer unabhängigen Registrierungsstelle und kontrolliert zusätzlich, ob die SSL Zertifikate auch für die entsprechende Webseite ausgestellt wurden. Schlägt die Überprüfung fehl, wird die Verbindung abgebrochen. Andernfalls generiert die Verschlüsselung einen einmaligen Session Key, der ausschließlich und zeitlich begrenzt für diese eine Verbindung genutzt wird. Dieser wird mit dem öffentlichen Schlüssel des anderen Teilnehmers chiffriert und versendet. Die Gegenstelle ermittelt den Session Key und richtet damit für jede Sitzung eine einzelne, individuelle symmetrische Verschlüsselung ein.

Was ist der Unterschied zwischen dediziertem SSL und Shared SSL?

Institutionen wie Let's Encrypt stellen SSL Zertifikate für jede Webseite einzeln aus und erlauben die Verwendung ausschließlich durch diese Adresse. Auf diese Weise stellt die Verschlüsselung die Identität eindeutig fest und verhindert, dass die Kommunikation auf einen fremden Server umgeleitet wird. Ein Dritter kann weder mit einem fremden Zertifikat arbeiten noch sich ein eigenes mit einer fremden Adresse ausstellen lassen. Der Nachteil dieser individuellen, "dedizierten" SSL Zertifikate ist, dass Erstellung und Einrichtung relativ zeitaufwendig sind. Vor der Gründung von Let's Encrypt waren zudem SSL Zertifikate immer kostenpflichtig und mussten manuell erstellt werden. Dieser Vorgang benötigte mitunter einige Arbeitstage.

Im Unterschied dazu werden bei Shared SSL die Zertifikate für einen bestimmten Webhoster oder dessen Server ausgestellt und von dessen Kunden gemeinsam verwendet. Als Wildcard SSL Zertifikat können sie für mehrere unterschiedliche Domains genutzt werden. Dies vereinfacht die Einrichtung einer SSL Verschlüsselung, beschleunigt das Verfahren und senkt die Kosten. Aus diesem Grund bieten viele Provider und Hoster ihren Kunden (meist kostenfreie) Shared SSL Zertifikate für ihre Webseiten an.

Der Nachteil bei Shared SSL ist, dass dieses zwar den Webhoster eindeutig identifiziert - nicht aber eine einzelne, auf seinem Server befindliche Domain. So erleichtern sie zwar generell die Verschlüsselung, lassen aber nicht zu, dass ein Besucher eine Adresse zweifelsfrei identifiziert. Theoretisch könnte eine andere Webseite auf demselben Server also deren Identität vortäuschen, weil beide dieselben SSL Zertifikate verwenden. Aus diesem Grund ist Shared SSL für sicherheitskritische Anwendungen wie beispielsweise Online-Shops nur eingeschränkt zu empfehlen. Alternativen bieten Dienstleister wie die None-Profit-Organisation Let's Encrypt, die kostenfrei und zeitnah SSL Zertifikate für einzelne Webseiten ausstellen.

Foto: skylarvision pixabay.com