Warum überhaupt ein SSL Zertifikat kaufen?

Ein SSL Zertifikat hat zwei verschiedene Funktionen. Zum einen bietet ein SSL Zertifikat eine starke Verschlüsslung. Mit der Verschlüsslung garantieren Sie den Schutz von sensiblen Daten wie z.B. Kundendaten bei der Übertragung im Internet. Sie erfüllen mit dem Einsatz eines SSL Zertifikates bei korrekter Installation auch die Vorgaben des deutschen Datenschutzgesetzes.
Eine weitere Funktion eines SSL Zertifikates ist die Vertrauensstellung, die mittels des Zertifikats aufgebaut werden kann. Es gibt neben den einfachen domainvalidierten (DV SSL Zertifikate)  sowie den organisationsvalidierten Zertifikaten (OV SSL Zertifikate) auch noch EV SSL Zertifikate (Extended Validation, also erweiterte Validierung).

Somit sollten bei allen Webseiten, welche personenbezogene Daten z.B. über Web-Formulare als Eingabe erlauben oder auch Onlineshops bei welchen sich Kunden registrieren können eine Verschlüsslung mittels starker SSL bzw. TLS Verbindungen anbieten. Dies entspricht dem Stand der Technik und gilt als wichtige Maßnahme, welche unbedingt zum Schutz von Daten getroffen werden sollte. Werden solche Maßnahmen unterlassen, so kann es sogar zu Bußgeldern in nicht unerheblicher Höhe kommen (siehe https://www.datenschutzbeauftragter-info.de/bussgeld-fuer-kontaktformulare-ohne-verschluesselung/).

Unterschiede bei SSL Zertifikaten

Gehen wir kurz auf die wichtigsten Unterschiede zwischen domainvalidierten, organisationsvalidierten und erweitert validierten SSL Zertifikaten ein:

Domain validierte Zertifikate (DV SSL Zertifikat) sind die SSL Zertifikate, welche am schnellsten ausgestellt werden können. Sie bieten neben der Verschlüsslung der Verbindung nur folgende  Information bezüglich der Vertrauensstellung: der Domaininhaber hat den Nachweis erbracht, dass er Kontrolle über die Domain hat.

Organisation Validierung (OV SSL Zertifikat) bedeutet, dass neben der Kontrolle über die Domain auch Informationen über das Unternehmen im Zertifikat aufgeführt werden. Diese Informationen müssen bei der Beantragung verifiziert werden. Dies geschieht in der Regel durch Anforderung von dem Gewerbeschein oder dem Handelsregisterauszug, sofern ein Unternehmen ein OV SSL Zertifikat bestellt, bzw. durch Vorlage des Personalausweises bei Privatpersonen. Auch eine telefonische Verifizierung ist bei dem Prozess vorgesehen.

Erweiterte Validierung (EV SSL Zertifikat) bei SSL Zertifikaten ist die höchste bzw. sicherste Form der Validierung bei SSL Zertifikaten. Dies spiegelt unter anderem auch durch die grüne Adresszeile im Browser wider, wenn eine Webseite mit einem EV SSL Zertifikat ausgestattet ist. In der Adressleiste ist dann auch direkt der Name des Unternehmens in dem grünen Bereich ersichtlich. Es müssen bei der Beantragung verschiedene Nachweise zur Identitätsfeststellung des Antragstellers eingereicht werden:  Handelsregisterauszug bzw. Gewerbeschein, Listung des Unternehmens in z.B. Gelbe Seiten, Telefonbuch, Dun & Bradstreet, Nachweis der Domain Eigentümerschaft, Verifizierung der antragstellenden Person bezüglich der Berechtigung im Namen des Unternehmens das Zertifikat zu bestellen. Durch diese aufwändige Validierung erreicht die CA eine hohe Sicherheit, die Echtheit des Antragstellers zu belegen. Der Aufwand ist natürlich auch wesentlich höher, da manuell geprüft wird, ob alle Daten stimmig sind. Dies spiegelt sich natürlich auch im Preis für ein solches Zertifikat. Allerdings genießt der „grüne Balken“ im Browser auch bei den Nutzern das höchste Vertrauen (da oft bekannt von Banking Webseiten).