Arten von SSL-Zertifikaten

Einführung

Digitale Sicherheit für Software und Dokumente ist für jedes Unternehmen unerlässlich, um reibungslos online arbeiten und Vertrauen aufbauen zu können. Der Schutzmechanismus hierfür ist das verfügbare SSL-Zertifikat (Secure Sockets Layer), das die zwischen dem Browser des Nutzers und unserem Webserver ausgetauschten Daten verschlüsselt und so wertvolle Informationen wie Passwörter, Kreditkarten-Zugangsdaten und persönliche Daten schützt. Dies stärkt das Vertrauen der Besucher in eine Website. Die Wahl des passenden SSL-Zertifikats erfordert die Abwägung verschiedener Faktoren wie Website-Typ, Sicherheitsbedarf und Budget. Dieser Blog bietet eine informative Übersicht über die wichtigsten Zertifikatstypen, die verwendeten Prüfalgorithmen, ihre Anwendungsbereiche und ihre spezifischen Zwecke..

Was ist ein SSL-Zertifikat?

Ein SSL-Zertifikat ist ein elektronisches Identitätsdokument, das von einer vertrauenswürdigen Zertifizierungsstelle (CA) ausgestellt wird, um die Identität einer Internetseite zu bestätigen und die verschlüsselte Kommunikation über das HTTPS-Protokoll zu ermöglichen. Es gewährleistet eine sichere Verbindung, schützt Daten vor Abfangen und Verändern und wahrt deren Vertraulichkeit und Integrität. Neben der erhöhten Sicherheit verleihen SSL-Zertifikate einer Webseite Glaubwürdigkeit, indem sie ein Schloss-Symbol in der Adressleiste des Browsers anzeigen. SSL-Zertifikate unterscheiden sich hinsichtlich Validierungsstufe, Abdeckung und Verwendungszweck. Daher ist es wichtig, die Unterschiede genau zu kennen, um das passende Zertifikat auszuwählen.

SSL-Zertifikate nach Validierungsstufe

Die Strenge der Prüfungen, die eine Zertifizierungsstelle vor der Ausstellung eines Zertifikats durchführt, hängt von den Validierungsstufen ab, die den verschiedenen Zertifikatstypen zugeordnet sind, und bestimmt somit das Maß an Vertrauen und Sicherheit, das mit dem Zertifikat verbunden ist.

Domain validiert (DV) Zertifikate

DV-Zertifikate, die zu den am häufigsten benötigten und dennoch leicht zugänglichen Zertifikatstypen gehören, ermöglichen lediglich die Überprüfung der Inhaberschaft einer Domain. Die Ausstellung dieser Zertifikate garantiert, dass die gewünschte Domain unter der Kontrolle des Antragstellers steht. Der Validierungsprozess ist einfach und umfasst in der Regel Folgendes:

• Authentifizierung oder Test per E-Mail (Antwort auf eine an eine Domain-Adresse adressierte E-Mail).

• DNS-Verifizierung (Hinzufügen eines bestimmten Eintrags zum Domain-DNS).

• Dateibasierte Verifizierung (Etwas auf den Server hochladen).

DV-Zertifikate werden in der Regel innerhalb weniger Minuten ausgestellt und eignen sich daher für kleinere Websites, persönliche Blogs oder kostenlose Webressourcen, die ausreichend verschlüsselt und geschützt werden sollen. Da sie jedoch die Identität der Organisation nicht verifizieren, bieten sie ein geringeres Vertrauensniveau als andere Zertifikatsklassen. Dadurch sind sie kostengünstig, da die Gebühren von 0 US-Dollar (wie bei Let's Encrypt) bis zu wenigen US-Dollar pro Jahr reichen können. Beispielsweise kann eine selbstgehostete Portfolio-Website oder ein Blog ein DV-Zertifikat verwenden, um einfache Benutzerinteraktionen zu verschlüsseln.

Organisation validiert (OV) Zertifikate

OV-Zertifikate erfordern eine zusätzliche Validierungsebene, die die Inhaberschaft einer Domain und die Existenz einer Organisation überprüft. Die Zertifizierungsstelle prüft unter anderem folgende Informationen:

• Geschäftsregistrierungsdokumente.

• Arbeits- und Standortbereich.

• Besitz von Domains durch DV-Zertifikate.

Dieser Prozess, der einige Tage bis zu sieben Tage dauern kann, stellt sicher, dass das Zertifikat von der rechtmäßigen Stelle ausgestellt wird und erhöht somit die Glaubwürdigkeit. OV-Zertifikate eignen sich für kleine und mittlere Unternehmen, gemeinnützige Organisationen oder Websites, die sensible Daten wie Benutzeranmeldedaten verarbeiten. Sie sind teurer als DV-Zertifikate und kosten in der Regel zwischen 50 und 150 US-Dollar pro Jahr, bieten aber mehr Vertrauen, da sie Organisationsinformationen enthalten. Auch kleine, lokal ansässige Unternehmen, wie beispielsweise Dienstleister, können ein OV-Zertifikat erhalten.

Extended Validation (EV) Zertifikate

Die ideale Zertifizierungsart ist die Zertifikat für erweiterte Validierung (EV) Vertrauen. Die Zertifizierungsstelle (CA) führt ein strenges Qualifizierungsverfahren durch, indem sie Folgendes prüft:

 • Rechtliche Existenz: Die Organisation ist registriert.

• Der Standort und die Betriebsbedingungen.

• Besitz von Domains.

• Die Identität des Antragstellers im Zertifikat.

Es handelt sich um ein umfassendes Verfahren, das bis zu zwei Wochen dauern kann und dadurch maximale Glaubwürdigkeit gewährleistet. In manchen Browsern wird bei EV-Zertifikaten üblicherweise eine grüne Adressleiste oder der Name einer Organisation angezeigt, was Nutzern visuell signalisiert, dass sie vertrauenswürdig sind. Sie eignen sich besonders für Online-Shops, Banken und alle anderen Websites, die sensible Transaktionen wie Online-Geldtransfers oder Online-Banking abwickeln. EV-Zertifikate sind mit Kosten zwischen 100 und über 900 US-Dollar pro Jahr am teuersten, bieten aber eine hohe Sicherheit und sind in diesem vertrauenswürdigen Umfeld ihren Preis wert. Beispielsweise profitiert ein Online-Händler, der Kreditkartenzahlungen akzeptiert, von einem EV-Zertifikat.

Vergleich der Zertifikatstypen

Eigenschaften	Domain-Validierung (DV)	Organisationsvalidierung (OV)	Extended Validation (EV)
Validierungsumfang	Überprüft nur den Domänenbesitz	Überprüft Domaininhaberschaft und Organisationsidentität	Umfassende Überprüfung der Rechtspersönlichkeit, des physischen Standorts und des Betriebsstatus
Ausgabezeitplan	Nahezu sofort bis zu mehreren Stunden	1-3 Werktagen	7-14 Werktagen
Relative Kosten	Am wirtschaftlichsten	Moderate Investitionen	Premium-Preise
Validierungsmethode	Vollautomatisiert per E-Mail, DNS-Eintrag oder HTTP-Dateiverifizierung	Halbautomatisiert mit manueller Dokumentenprüfung	Umfangreiche manuelle Prüfung durch die Zertifizierungsstelle
Erforderliche Dokumentation	Keine Präsentation	Gründungsurkunde, Gewerbeanmeldung, D&B-Nummer (variiert je nach Bundesstaat)	Umfassende rechtliche Dokumentation, Überprüfung der physischen Adresse, Nachweis der Geschäftstätigkeit und Bestätigung der Zeichnungsberechtigung
Organisationsdarstellung	Unzutreffend	Bei der Prüfung in den Zertifikatsdetails sichtbar	Werden in den Zertifikatsdetails mit vollständigen Informationen zur juristischen Person angezeigt.
Vertrauensindikatoren	Standard-Sicherheitsschloss-Symbol	Standard-Sicherheitsschloss-Symbol	Standardmäßiges Sicherheitsschloss-Symbol (historische grüne Adressleiste wird in modernen Browsern nicht mehr verwendet)
Verschlüsselungsstufe	Branchenübliche Verschlüsselung (typischerweise 256 Bit)	Branchenübliche Verschlüsselung (typischerweise 256 Bit)	Branchenübliche Verschlüsselung (typischerweise 256 Bit)
Identitätssicherung	Minimal – bestätigt nur die Domänenkontrolle	Moderat – bestätigt legitimen Geschäftsbetrieb	Maximum – bestätigt eine sorgfältige Prüfung der juristischen Person
Ideale Anwendungsfälle	• Persönliche Blogs und Portfolios • Interne Unternehmensanwendungen • Entwicklungs- und Testumgebungen • Inhaltsorientierte Websites	• Unternehmenswebsites • E-Commerce-Plattformen für kleine und mittlere Unternehmen • Professionelle Dienstleistungsunternehmen • Geschäftsanwendungen • Kundenportale	• Finanzdienstleistungen und Bankwesen • E-Commerce-Plattformen für Unternehmen • Zahlungsdienstleister • Gesundheitsportale • Regierungsbehörden
Zertifikatserneuerung	Optimierte Automatisierung möglich (z. B. ACME-Protokoll)	Erfordert regelmäßige Dokumentenaktualisierungen	Bei jeder Verlängerung ist eine vollständige Revalidierung erforderlich.
Einhaltung von Vorschriften	Erfüllt die grundlegenden HTTPS-Anforderungen	Erfüllt die üblichen Anforderungen an die Einhaltung von Geschäftsvorschriften	Erfüllt strenge regulatorische Anforderungen (PCI DSS, SOC 2 usw.).
Anti-Phishing-Wert	Nur wenige Angreifer können DV-Zertifikate erlangen.	Mäßige Abschreckung durch verifizierte Identität	Starker Schutz durch einen strengen Überprüfungsprozess
Marktakzeptanz	Rasant wachsend (angetrieben durch kostenlose Anbieter wie Let's Encrypt)	Branchenstandard für etablierte Unternehmen	Sinkende Akzeptanz aufgrund reduzierter visueller Unterscheidung

SSL-Zertifikate nach Abdeckung

SSL-Zertifikate können anhand der Anzahl der Domains oder Subdomains, die sie sichern, klassifiziert werden, da sie in einer Vielzahl von Website-Architekturen eingesetzt werden können.

Single Domain SSL-Zertifikat

Ein Single-Domain-Zertifikat schützt einen vollqualifizierten Domainnamen (FQDN), z. B. www.example.com. Solche Zertifikate eignen sich für Websites mit nur einer Domain und ohne Subdomains. Beispielsweise kann ein international tätiges Unternehmen, das auf seiner Website (z. B. http://www.company.com) nur wenige Subdomains verwendet, ein Single-Domain-Zertifikat bevorzugen. Die Zertifikate sind einfach zu handhaben und kosten in der Regel zwischen 10 und 100 US-Dollar pro Jahr, abhängig vom Validierungslevel und der Zertifizierungsstelle (CA).

Wildcard-SSL-Zertifikate

Wildcard-Zertifikate zertifizieren eine Domain und alle ihre Subdomains der ersten Ebene (z. B. blog.encryptionconsulting.com, shop.encryptionconsulting.com) mit demselben Zertifikat, dargestellt durch ein Sternchen (z. B. *.encryptionconsulting.com). Sie eignen sich ideal für Websites mit vielen Subdomains und Blogs, E-Commerce-Websites oder Websites mit Subdomains nach geografischer Region. Wildcard-Zertifikate vereinfachen die Verwaltung, da sie unbegrenzt viele Subdomains mit einem einzigen Zertifikat abdecken und so den Verwaltungsaufwand reduzieren. Sie sind in komplexen Umgebungen kostengünstig, obwohl sie teurer sind. Beispielsweise würde eine Website mit den Subdomains mail.example.com und store.example.com ein Wildcard-Zertifikat verwenden.

Multi-Domain-/SAN-Zertifikat

Subject Alternative Name (SAN)-Zertifikate sind Multi-Domain-Zertifikate. Das bedeutet, dass sie mehrere Domains und Subdomains mit einem einzigen Zertifikat absichern. Beispielsweise könnte ein einzelnes SAN-Zertifikat example.com, example.org und shop.example.com abdecken. Diese Zertifikate sind sehr flexibel und ermöglichen es Unternehmen, mehrere Markendomains oder Websites zu schützen. Die Kosten, die üblicherweise zwischen 150 und 600 US-Dollar pro Jahr liegen, hängen von der Anzahl der abgedeckten Domains ab. Diese Zertifikate sind besonders vorteilhaft für Unternehmen, die zahlreiche Domains verwalten, beispielsweise separate Domains für Marketing und Vertrieb.

UCC (Unified Communications Certificates)

UCCs sind speziell entwickelte Multi-Domain-Zertifikate, die Kommunikationsplattformen wie Microsoft Exchange und Office Communications Server vereinheitlichen. Sie umfassen verschiedene Bereiche, die in Kommunikationseinrichtungen wie E-Mail-Servern und Kollaborationstools genutzt werden. UCCs sind auf die Bedürfnisse von Unternehmen zugeschnitten und bieten sichere Dienste wie E-Mail, Messaging und Kollaboration. Die Preise variieren stark, liegen aber typischerweise bei etwa 200 US-Dollar pro Jahr und hängen von der Anzahl der Domains und der Zertifizierungsstelle ab. Beispielsweise kann ein Unternehmen, das Microsoft Exchange für E-Mail und Kollaboration nutzt, ein UCC registrieren.

Spezialisierte SSL-Zertifikate

Neben den üblichen, universell einsetzbaren SSL-Zertifikaten gibt es auch spezialisierte Typen, die auf spezifische Sicherheitsanforderungen zugeschnitten sind.

Codesignaturzertifikate

Code-Signatur-Zertifikate dienen der Signierung von Software, Skripten oder ausführbaren Dateien, um deren Authentizität und Integrität nachzuweisen. Sie verhindern Manipulationen und gewährleisten, dass der Nutzer die Software von einer vertrauenswürdigen Quelle bezieht. Entwickler verwenden solche Zertifikate, um Anwendungen für Plattformen wie Windows, macOS und iOS App Stores zu signieren. Das Validierungsverfahren ähnelt dem eines OV-Zertifikats, welches eine organisationsbasierte Verifizierung erfordert und üblicherweise 100 bis 400 US-Dollar pro Jahr kostet.

Document Signing-Zertifikate

Dokumentensignaturzertifikate dienen der Signierung von Dokumenten wie PDFs, Office-Dateien und anderen nicht ausführbaren Dateien, um deren Authentizität und Integrität nachzuweisen. Sie ähneln Code-Signaturzertifikaten, da sie Manipulationen verhindern und sicherstellen, dass das Dokument vom beabsichtigten Herausgeber stammt. Herausgeber verwenden solche Zertifikate zur Signierung von Dokumenten. Das Validierungsverfahren ähnelt dem eines OV-Zertifikats, das eine organisationsbasierte Verifizierung erfordert und üblicherweise 100 bis 400 US-Dollar pro Jahr kostet.

S/MIME-Zertifikate

S/MIME-Zertifikate (Secure/Multipurpose Internet Mail Extensions) dienen der Sicherung der E-Mail-Kommunikation. Sie überprüfen die Identität der Absender und verschlüsseln Nachrichten. Zudem schützen sie vor Phishing, gewährleisten die Vertraulichkeit von E-Mails und sind für Unternehmen, die sensible Daten verarbeiten, unerlässlich. Die Validierung auf DV- oder OV-Niveau ist Standard, kann aber kostenlos sein oder bis zu 75 US-Dollar pro Jahr kosten.

Auswahl des richtigen SSL-Zertifikats

Bei der Auswahl eines SSL-Zertifikats ist es wichtig, viele Anforderungen sorgfältig zu berücksichtigen.

Art und Zweck der Website

Kleinere Websites, wie z. B. persönliche Blogs oder Websites mit informativen Inhalten, können mit einem Domain Validated (DV)-Zertifikat gut bedient werden, während E-Commerce- oder Finanzwebsites mit einem Organization Validated (OV)- oder Extended Validation (EV)-Zertifikat gut zurechtkommen.

Gesamtzahl der Domains/Subdomains 

Ein Single-Domain-Zertifikat reicht aus, um einfache Websites zu sichern, während Wildcard- oder Multi-Domain-Zertifikate für komplexere Setups mit vielen Subdomains oder Domains geeignet sind.

Budget 

DV-Zertifikate sind in der Regel am günstigsten, oft kostenlos oder kosten weniger als 50 Dollar pro Jahr, OV- und EV-Zertifikate hingegen kosten Hunderte von Dollar.

Vertrauensanforderungen

In Bereichen mit hohem Vertrauensbedarf, wie z. B. Online-Shops und Bankumgebungen, werden typischerweise OV- oder EV-Zertifikate benötigt, um den Nutzern zu versichern, dass die Website ein hohes Vertrauen genießt und die Branchenanforderungen erfüllt.

Technische Expertise 

Wildcard-Zertifikate und Multi-Domain-Zertifikate sind bei komplexen Konfigurationen hilfreich; allerdings kann die Einrichtung dieser Zertifikate erhebliche technische Fachkenntnisse erfordern.

Weitere Überlegungen

Absprachen der Zertifizierungsstelle 

Die Wahl einer gängigen Zertifizierungsstelle (CA) wie DigiCert oder Let's Encrypt trägt zur Gewährleistung von Zuverlässigkeit und Browserkompatibilität bei.

Gültigkeitsdauer des Zertifikats 

Die meisten SSL-Zertifikate laufen in der Regel nach ein bis zwei Jahren ab, einige Zertifizierungsstellen bieten jedoch vergünstigte Mehrjahresverträge an. Lassen Sie Ihr Zertifikat niemals ablaufen, ohne es zu verlängern.

Browser- und Gerätekompatibilität 

Überprüfen Sie die Kompatibilität mit gängigen Browsern (Chrome, Firefox, Microsoft Edge, Safari) und Geräten (Mobile Plattformen, IoT-Geräte). 

SEO Vorteile 

Durch die Verwendung von HTTPS werden Webseiten in Suchmaschinen wie Google sehr gut sichtbar, daher lohnt es sich, ein SSL-Zertifikat zu besitzen.

Wie kann Verschlüsselungsberatung helfen?

Encryption Consulting bietet eine umfassende Zertifikatsverwaltungslösung mit CertSecure ManagerMit CertSecure Manager können Sie OV/DV/EV-Zertifikate verschiedener Zertifikatsanbieter und Plattformen über eine einzige Plattform hinweg verwalten.

Fazit

Die Sicherheit von Websites basiert auf SSL-Zertifikaten, die eine verschlüsselte Verbindung gewährleisten und das Vertrauen der Nutzer stärken. Ob kostengünstige DV-Zertifikate, hochvertrauenswürdige EV-Zertifikate, Single-Domain- oder Wildcard-Zertifikate oder Spezialzertifikate wie Code Signing und S/MIME – für jede Anforderung gibt es ein passendes SSL-Zertifikat. Kenntnisse über Validierungsprofile, Abdeckungsmöglichkeiten und Anwendungsbereiche ermöglichen die Auswahl eines geeigneten Zertifikats, um Ihre Website zu schützen, die Glaubwürdigkeit zu erhöhen und die Erwartungen Ihrer Nutzer zu erfüllen.