Was ist ein SSL-Zertifikat und warum ist es wichtig?

SSL steht für Secure Sockets Layer. Es handelt sich um die Standardtechnologie zur Sicherung einer Internetverbindung und zum Schutz sensibler Daten, die zwischen zwei Systemen ausgetauscht werden. Bei den beiden Systemen kann es sich um Server-zu-Client-Systeme (z. B. eine Shopping-Website und ein Browser) oder Server-zu-Server-Systeme (z. B. eine Anwendung mit personenbezogenen Daten oder Gehaltsabrechnungsdaten) handeln.

Inhaltsverzeichnis

Was ist ein TLS-Zertifikat?

TLS steht für Transport Layer Security und ist eine aktualisierte und sicherere Version von SSL. TLS ist ein kryptografisches Protokoll, das eine verschlüsselte Sitzung zwischen Anwendungen über das Internet herstellt.

TLS-Zertifikate enthalten normalerweise die folgenden Informationen:

• Der Betreffdomänenname
• Die Fachorganisation
• Der Name der ausstellenden Zertifizierungsstelle
• Zusätzliche oder alternative Betreffdomänennamen, einschließlich Subdomänen, falls vorhanden
• Ausgabedatum
• Ablaufdatum
• Der öffentliche Schlüssel (Der private Schlüssel wird jedoch geheim gehalten.)
• Die digitale Signatur der CA

Wie funktioniert TLS?

TLS verwendet eine Kombination aus symmetrisch und asymmetrisch Kryptografie, da diese eine gute Balance zwischen Leistung und Sicherheit bei der sicheren Datenübertragung ermöglicht.

Erfahren Sie mehr über den TLS-Handshake:

Zertifikatsverwaltung | Verwendung | Sicherheit | Verschlüsselungsglossar (encryptionconsulting.com)

Standard-SSL-Handshake

Die Kommunikation über SSL beginnt immer mit dem SSL-Handshake. Der SSL-Handshake ermöglicht es dem Browser, den Webserver zu überprüfen, den öffentlichen Schlüssel abzurufen und eine sichere Verbindung herzustellen, bevor die eigentliche Datenübertragung beginnt.

Der Standard-SSL-Handshake umfasst die folgenden Schritte:

1. Hallo Kunde

   Der Server kommuniziert mit dem Client über SSL. Dazu gehören die SSL-Versionsnummer, Verschlüsselungseinstellungen und sitzungsspezifische Daten.

2. Hallo Server

   Der Server antwortet mit einer „Server-Hello“-Nachricht. Diese enthält die SSL-Versionsnummer des Servers, Verschlüsselungseinstellungen, sitzungsspezifische Daten, ein SSL-Zertifikat mit einem öffentlichen Schlüssel und andere Informationen, die der Client für die Kommunikation mit dem Server über SSL benötigt.

3. Authentifizierung

   Der Client überprüft das SSL-Zertifikat des Servers bei der Zertifizierungsstelle (CA) und authentifiziert den Server. Schlägt die Authentifizierung fehl, lehnt der Client die SSL-Verbindung ab und löst eine Ausnahme aus. Bei erfolgreicher Authentifizierung fährt der Client mit dem nächsten Schritt fort.

4. Decryption

   Der Client erstellt einen Sitzungsschlüssel, verschlüsselt ihn mit dem öffentlichen Schlüssel des Servers und sendet ihn an den Server. Wenn der Server eine Client-Authentifizierung angefordert hat (meistens bei der Server-zu-Server-Kommunikation), sendet der Client sein eigenes Zertifikat an den Server.

5. Verschlüsselung mit Sitzungsschlüssel

   Der Server entschlüsselt den Sitzungsschlüssel mit seinem privaten Schlüssel und sendet die mit dem Sitzungsschlüssel verschlüsselte Bestätigung an den Client.

Somit verfügen sowohl der Client als auch der Server am Ende des SSL-Handshakes über einen gültigen Sitzungsschlüssel, den sie zum Verschlüsseln oder Entschlüsseln der Originaldaten verwenden.

Welche Arten von SSL-Zertifikaten gibt es?

Heutzutage sind mehrere Arten von SSL-Zertifikaten verfügbar, die sich nach der Validierungsstufe und der Anzahl der Domänen unterscheiden, die sie sichern. SSL-Zertifikate basierend auf der Validierungsstufe:

1. Domänenvalidiertes Zertifikat

   Das Domain Validated (DV)-Zertifikat erfordert die niedrigste Validierungsstufe, da der Hauptzweck von DV-Zertifikaten darin besteht, die Kommunikation zwischen dem Webserver und dem Browser der Domäne zu sichern. Die Zertifizierungsstelle überprüft lediglich, ob der Inhaber die Kontrolle über die Domäne hat.

2. Von der Organisation validierte Zertifikate

   Das Organization Validated (OV)-Zertifikat erfordert eine Validierung auf mittlerer Ebene, bei der die Zertifizierungsstelle die Rechte einer Organisation zur Nutzung der Domäne und der Organisationsinformationen überprüft. Das OV-Zertifikat erhöht das Vertrauensniveau der Organisation und ihrer Domäne.

3. Erweiterte validierte Zertifikate

   Das Extended Validated (EV)-Zertifikat erfordert eine umfassende Validierung, bei der die Zertifizierungsstelle gemäß den Richtlinien strenge Hintergrundprüfungen der Organisation durchführt. Dazu gehört die Überprüfung der rechtlichen, physischen und betrieblichen Existenz des Unternehmens.

SSL-Zertifikate basierend auf der Anzahl der Domänen:

1. Einzeldomänenzertifikat

   Einzeldomänenzertifikate sichern einen vollqualifizierten Domänennamen oder Subdomänennamen.

2. Wildcard-SSL-Zertifikat

   Wildcard-Zertifikate decken einen Domänennamen und eine unbegrenzte Anzahl seiner Subdomänen ab

3. Multi-Domain-SSL-Zertifikat

   Das Multi-Domain-SSL-Zertifikat sichert mehrere Domänen mit demselben Zertifikat mithilfe der SAN-Erweiterung. Es ist speziell für die Absicherung von Microsoft Exchange- und Office Communication-Umgebungen konzipiert.

Wie erfahren Besucher, dass meine Site über ein SSL-Zertifikat verfügt?

Nachfolgend sind einige visuelle Hinweise aufgeführt, die darauf hinweisen, dass eine Website über ein SSL-Zertifikat verfügt:

• Vorhängeschloss links neben einer URL
• Ein https-URL-Präfix anstelle von http
• Ein Vertrauenssiegel
• Eine grüne Adressleiste (wenn ein EV-SSL-Zertifikat ausgestellt ist)

Wie verwendet SSL/TLS sowohl asymmetrische als auch symmetrische Verschlüsselung?

SSL verwendet symmetrische Verschlüsselung, um Daten zwischen Browser und Webserver zu verschlüsseln, während asymmetrische Verschlüsselung zum Austausch generierter symmetrischer Schlüssel verwendet wird, die die Identität von Client und Server bestätigen.

Unterschied zwischen SSL- und TLS-Zertifikaten

Die Unterschiede zwischen SSL- und TLS-Zertifikaten sind gering, die wichtigsten Unterschiede sind:

Zum Vergleich	SSL	TLS
Abkürzung	SSL steht für „Secure Socket Layer“.	TLS steht für „Transport Layer Security“.
Verschlüsselungssammlungen	Das SSL-Protokoll bietet Unterstützung für die Fortezza-Verschlüsselungssuite	Verschlüsselungssammlungen Das SSL-Protokoll bietet Unterstützung für die Fortezza-Verschlüsselungssammlung. Der TLS-Standardisierungsprozess erleichtert die Definition neuer Verschlüsselungssammlungen wie RC4, Triple DES, AES, IDEA usw. erheblich.
Version	Es wurden drei Versionen von SSL veröffentlicht: SSL 1.0, 2.0 und 3.0	Es wurden vier Versionen von TLS veröffentlicht: TLS 1.0, 1.1, 1.2 und 1.3
Versionsstatus	Alle SSL-Versionen wurden als anfällig eingestuft und sind veraltet.	TLS 1.0 und 1.1 sind „kaputt“ und seit März 2020 veraltet. TLS 1.2 ist die am weitesten verbreitete Protokollversion
Sichere Kommunikation	SSL ist ein kryptografisches Protokoll, das explizite Verbindungen verwendet, um eine sichere Kommunikation zwischen dem Webserver und dem Client herzustellen	TLS ist ebenfalls ein kryptografisches Protokoll, das eine sichere Kommunikation zwischen Webserver und Client über implizite Verbindungen ermöglicht. Es ist der Nachfolger des SSL-Protokolls.
Meistergeheimnis	SSL erstellt ein Master-Geheimnis, der Message Digest des Pre-Master-Geheimnisses wird verwendet	TLS verwendet eine pseudozufällige Funktion zum Generieren des Master-Geheimnisses

Wie überprüfe ich ein SSL-Zertifikat in Chrome und Firefox?

Jeder Site-Besucher kann den folgenden Schritt ausführen, um Zertifikatsinformationen in Chrome abzurufen:

• Klicken Sie auf das Vorhängeschlosssymbol in der Adressleiste der Website
• Klicken Sie im Popup auf Zertifikat (gültig)
• Überprüfen Sie die Gültigkeitsdaten, um zu bestätigen, dass das SSL-Zertifikat aktuell ist.

Jeder Site-Besucher kann den folgenden Schritt ausführen, um Zertifikatsinformationen in Firefox abzurufen:

• Klicken Sie auf das Vorhängeschlosssymbol in der Adressleiste der Website
• Um die Details des Zertifikats zu überprüfen, klicken Sie auf „Weitere Informationen“.

Für weitere Details zum Zertifikat klicken Sie einfach auf „Zertifikat anzeigen“.

Wie finden Sie Ihr SSL-Zertifikat?

Es gibt zwei Methoden, um die installierten SSL-Zertifikate auf Ihrer Website zu finden. In einer Windows Server-Umgebung werden die installierten Zertifikate in Zertifikatspeichern gespeichert. Es gibt Container, die ein oder mehrere Zertifikate enthalten. Diese Container sind:

• Persönlich: Enthält Zertifikate, die mit privaten Schlüsseln verknüpft sind, auf die der Benutzer Zugriff hat.
• Vertrauenswürdige Wurzel Zertifizierungsstellen, das alle Zertifikate im Speicher der Stammzertifizierungsstellen von Drittanbietern sowie Stammzertifikate von Kundenorganisationen und Microsoft enthält
• Zwischenzertifizierungsstellen, einschließlich der an untergeordnete Zertifizierungsstellen ausgestellten Zertifikate.

Sie können die Zertifikatsspeicher manuell auf Ihrem lokalen Computer überprüfen:

• Schritt 1: Öffnen Sie die Microsoft Management Console (MMC).

  Ausführen > mcc eingeben > Eingabe oder Eingabeaufforderung öffnen > mcc eingeben > Eingabe

• Schritt 2: Klicken Sie im Menü auf Datei > wählen Sie Snap-In hinzufügen/entfernen

• Schritt 3: Wählen Sie in der Liste „Verfügbare Snap-Ins“ die Option „Zertifikate“ und dann „Hinzufügen“ aus.

• Schritt 4: Wählen Sie Computerkonto > klicken Sie auf Weiter.

• Schritt 5: Wählen Sie „Lokaler Computer“ > klicken Sie auf „Fertig“.

• Schritt 6: Klicken Sie im Fenster „Snap-Ins hinzufügen oder entfernen“ auf „OK“.

• Schritt 7: Um Ihre Zertifikate im MMC-Snap-In anzuzeigen, wählen Sie im linken Bereich einen Zertifikatsspeicher aus. Die verfügbaren Zertifikate werden im mittleren Bereich angezeigt.

• Schritt 8: Doppelklicken Sie auf ein Zertifikat. Das Zertifikatfenster wird angezeigt, in dem die verschiedenen Attribute des ausgewählten Zertifikats angezeigt werden.

Zertifikatsmanager-Tool

Dies ist eine weitere Methode, um die installierten Zertifikate durch Starten von Windows anzuzeigen Zertifikatsmanager-Tool.

• Schritt 1: Öffnen Sie auf Ihrem lokalen Computer die Eingabeaufforderung und geben Sie „certlm.msc“ ein (das Zertifikatsverwaltungstool für das lokale Gerät wird angezeigt).
• Schritt 2: Unter Zertifikate – Lokaler Computer > erweitern Sie das Verzeichnis für den Zertifikatstyp, den Sie anzeigen möchten

Wie können Sie feststellen, ob die von Ihnen besuchte Site SSL-Zertifikate verwendet?

Neben der Überprüfung Ihres eigenen Zertifikats ist es wichtig, festzustellen, ob die von Ihnen besuchte Website SSL-Zertifikate verwendet. Im Folgenden finden Sie einige Punkte, die Sie beachten sollten, um zu überprüfen, ob die Website Zertifikate verwendet:

1. Achten Sie auf das „https“ in der URL der von Ihnen besuchten Website. Das „s“ zeigt an, dass diese Website ein SSL-Zertifikat verwendet.
2. Wenn Sie Firefox verwenden, klicken Sie auf das Vorhängeschloss in der Adressleiste. Im Dropdown-Menü sollte eine sichere Verbindung angezeigt werden. Die sichere Verbindung weist darauf hin, dass ordnungsgemäß konfiguriertes SSL verwendet wird.

Wie kann ich überprüfen, ob ein SSL-Zertifikat gültig ist?

Die Gültigkeitsdauer von SSL-Zertifikaten beträgt in der Regel ein bis drei Jahre. Die Gültigkeitsdauer des Zertifikats hängt vollständig von den Unternehmensrichtlinien, Kostenüberlegungen usw. ab. Es gibt verschiedene Tools zur Überprüfung der Gültigkeit von SSL-Zertifikaten. In diesem Artikel erfahren Sie, wie Sie die Gültigkeit des Zertifikats selbst überprüfen können.

• Option 1: Dieser Prozess ist zeitaufwändig

  Ausführen > certlm.msc > Zertifikate des lokalen Computers öffnen

  Gehen Sie die Liste der im Store aufgeführten Zertifikate durch, um sicherzustellen, dass nur die legitimen Zertifikate installiert sind.

• Option 2: Laden Sie das Windows-Dienstprogramm „Sysinternals“ herunter

  Verwenden Sie das Windows Sysinternals-Dienstprogramm namens Sigcheck > Herunterladen

  Sobald es heruntergeladen und installiert ist > führen Sie den Befehl aus sigcheck -tv

  Sigcheck lädt die Liste der vertrauenswürdigen Microsoft-Stammzertifikate herunter und stellt nur Ausgaben für gültige Zertifikate bereit.

Wie richte ich SSL-Zertifikate in Linux ein?

Installieren Sie ein SSL-Zertifikat auf Linux-Servern (Apache): 

1. Laden Sie das Zertifikat und die Schlüsseldateien per S/FTP hoch.
2. Melden Sie sich per SSH beim Server an (als Root-Benutzer).
3. Geben Sie das Root-Passwort ein
4. Verschieben Sie die Zertifikatsdatei und die Schlüsseldatei nach /etc/httpd/conf/ssl.crt.

   4.1. [Es ist wichtig, die Dateien durch die Einschränkung der Zugriffsrechte zu schützen. Mit 'chmod 0400' können Sie die Zugriffsrechte für den Schlüssel sicher einschränken.]

5. Um die Konfiguration des virtuellen Hosts für die Domäne zu bearbeiten, gehen Sie zu etc/httpd/conf.d/ssl.conf..
6. Starten Sie Apache neu
7. Testen Sie das SSL-Zertifikat mit verschiedenen Browsern.
8. Besuchen Sie die Site mit der sicheren https-URL, um zu überprüfen, ob das SSL-Zertifikat korrekt funktioniert. Beispiel: www.encryptionconsulting.com/

Wie richte ich SSL-Zertifikate in Windows ein?

Im Folgenden sind die Schritte zum Installieren eines SSL-Zertifikats auf Windows Server 2016 aufgeführt: 

1. Speichern Sie auf dem Server (auf dem das CSSR erstellt wurde) die .cer-Datei des SSL-Zertifikats (z. B. mydomain.cer).
2. Windows-Startmenü > Typ Internet Information Services (IIS) Manager > Öffnen
3. Klicken Sie auf Verbindungen Menübaum > Suchen und Klicken Sie auf auf die Servername
4. Servername Startseite Seite > Action Menü > Klicken Sie auf Vollständige Zertifikatsanfrage
5. Im Vollständige Zertifikatsanforderung Assistent > auf der Geben Sie die Antwort der Zertifizierungsstelle an Seite > Dateiname mit der Antwort der Zertifizierungsstelle > Klicken Sie auf das Kästchen und wählen Sie die .cer Datei
6. Tippe A Freundlicher Name für das Zertifikat (der Anzeigename wird verwendet, um das Zertifikat durch Hinzufügen der Zertifizierungsstelle und des Ablaufdatums zu identifizieren).
7. Wählen Sie ein Zertifikatspeicher für das neue Zertifikat: Wählen Sie in der Dropdown-Liste Webhosting.
8. Zertifikat Erfolgreich installiert.
9. Um das Zertifikat nun einer entsprechenden Site zuzuweisen, gehen Sie zu Internetinformationsdienste-Manager (IIS) > Menü „Verbindungen“ > erweitern Sie den Namen des Servers, auf dem das Zertifikat installiert wurde > erweitern Seiten > Wählen Sie die Sites aus, um das SSL-Zertifikat zu sichern

   9.1.1 Klicken Sie auf der Startseite der Website im Menü „Aktionen“ auf „Site bearbeiten“. Bindungen Link

10. Site-Bindung Fenster > klicken Speichern
11. Im Site-Bindungen hinzufügen Fenster, gehen Sie wie folgt vor:

    Typ: In der Dropdown-Liste > Auswählen https

    IP-Adresse: Wählen Sie die IP-Adresse des site oder wählen Sie Alle Nicht zugewiesene.

    Hafen: Typ-Port 443Der Port, über den der Datenverkehr durch SSL gesichert wird, ist Port 443.

    SSL-Zertifikat: Wählen Sie in der Dropdown-Liste Ihr neues SSL-Zertifikat aus (z. B. mydomain.com).

12. Das SSL-Zertifikat wurde jetzt erfolgreich installiert.
13. Besuchen Sie die Site mit der sicheren https-URL in verschiedenen Browsern, um zu überprüfen, ob das SSL-Zertifikat ordnungsgemäß funktioniert.

Wie erneuert man ein SSL-Zertifikat?

Bei der Erneuerung eines Zertifikats handelt es sich technisch gesehen um den Kauf eines neuen Zertifikats für
die Domäne und das Unternehmen. Gemäß den Industriestandards werden Zertifikate mit
ein Ablaufdatum. Wenn das Zertifikat abläuft, ist es nicht mehr gültig. Also,
Wenn Sie ein Zertifikat „erneuern“, muss die Zertifizierungsstelle ein neues ausstellen
um das auslaufende zu ersetzen, und das neue Zertifikat muss auf dem
Server.

Zur Erneuerung des Zertifikats gibt es zwei Verfahren:

• Erneuern eines selbstsignierten Zertifikats
• Erneuern eines Zertifikats einer Zertifizierungsstelle

Erneuern eines selbstsignierten Zertifikats

• Klicken Sie auf Ihrem Windows-Server auf das Startmenü > gehen Sie zu Verwaltung > klicken Sie auf Internet Information Services (IIS) Manager.
• Klicken Sie in der Spalte „Verbindungen“ auf den Namen des Servers > Doppelklicken Sie auf „Serverzertifikate“.

• Im Aktion Spalte rechts > Klick auf Erstellen Sie ein selbstsigniertes Zertifikat

• Geben Sie eine ein freundlicher Name und klicken Sie dann auf OK.

• Das selbstsignierte Zertifikat wurde erstellt, ist 1 Jahr gültig und unter Serverzertifikate aufgeführt.

• Binden Sie nun das selbstsignierte Zertifikat an die Site. Gehen Sie zu Verbindungen (linke Spalte)> erweitern Sie die Seiten Ordner > klicken Sie auf die Website, an die Sie das Zertifikat binden möchten > Klicken Sie auf Bindings in der rechten Spalte unter Aktion.

• Klicken Sie auf Bindings > Auf der Site Fenster „Bindungen“ > klicken Sie auf Speichern
• Ändern Sie den Typ in https > Wählen Sie das SSL-Zertifikat aus, das Sie gerade installiert haben > Klicken Sie auf „OK“.

• Die Bindung für Port 443 wird jetzt aufgelistet.

• Fügen Sie nun Ihr selbstsigniertes Zertifikat zu den vertrauenswürdigen Stammzertifizierungsstellen hinzu. Öffnen Microsoft-Verwaltungskonsole (MMC), erstellen Sie ein Zertifikat-Snap-In für das lokale Computerkonto (siehe die Schritte im Wie finden Sie Ihr SSL-Zertifikat? Abschnitt oben)
• Unter Zertifikate > Persönlich erweitern > Auf den Ordner Zertifikate klicken > Rechtsklick auf das selbstsignierte Zertifikat > Kopieren

• Unterhalb Vertrauenswürdige Stammzertifizierungsstellen > klicken Sie auf den Ordner „Zertifikate“ > klicken Sie mit der rechten Maustaste in den weißen Bereich unter den Zertifikaten und klicken Sie auf Pasta.

Erneuern eines Zertifikats einer Zertifizierungsstelle

In diesem Beispiel zeigen wir Ihnen, wie Sie das Stammzertifikat Ihrer Zertifizierungsstelle erneuern.

• Navigieren Sie zur Microsoft Management Console (MMC) Ihres Windows-Servers > starten Sie das Zertifizierungsstellen-Snap-In > klicken Sie mit der rechten Maustaste auf den Namen der Zertifizierungsstelle > Alle Aufgaben > CA-Zertifikat erneuern.

• Die Warnung „CA-Zertifikat installieren“ erscheint und informiert uns darüber, dass Active Directory Certificate Services muss gestoppt werden. Wählen Sie Ja.

• Auf dem Fenster „CA-Zertifikat erneuern“, Verwenden Sie entweder das vorhandene CA-Schlüsselpaar oder generieren Sie ein neues Schlüsselpaar für die Zertifikatserneuerung. Die Standardoption ist die Wiederverwendung des aktuellen öffentlichen und privaten Schlüsselpaars.

• Um zu überprüfen, ob das Zertifikat erneuert wurde, klicken Sie mit der rechten Maustaste auf den Namen der Zertifizierungsstelle > Eigenschaften > Allgemein

Wie kann Encryption Consulting helfen?

Encryption Consulting bietet eine spezialisierte Lösung zur Verwaltung des Zertifikatslebenszyklus CertSecure ManagerVon der Erkennung und Bestandsaufnahme bis hin zu Ausstellung, Bereitstellung, Erneuerung, Widerruf und Berichterstellung. CertSecure bietet eine umfassende Lösung. Intelligente Berichterstellung, Warnmeldungen, Automatisierung, automatische Bereitstellung auf Servern und Zertifikatsregistrierung sorgen für zusätzliche Raffinesse und machen CertSecure zu einem vielseitigen und intelligenten Tool.

Fazit

Eine Website benötigt ein SSL/TLS-Zertifikat, um Benutzerdaten zu schützen, den Eigentümer der Website zu bestätigen, Angreifer daran zu hindern, eine gefälschte Version der Website zu erstellen und das Vertrauen der Benutzer zu gewinnen. SSL/TLS-Zertifikate bestätigen, dass ein Client mit dem richtigen Server kommuniziert, dem die Domäne gehört. Dies hilft, Domain-Spoofing und andere Arten von Angriffen zu verhindern.