SSL-Zertifikate: Welches nehmen?

[m4pb]

Hallo!

gesucht wird ein SSL-Zertifikat für e-commerce Lösung.
Zertifikate kann man ab 15 Euro pro Jahr kaufen. Die Frage ist was unterscheidet so ein preiswerter Zertifikat von einem, welcher 300 Euro und mehr kostet?

Da ich keine Ahnung habe, brauche dringend hilfe. Google hat leider nicht geholfen.

Danke im Voraus!

[heutger]

Hallo,

die ehrliche berühmt berüchtigte Antwort: Es kommt darauf an.

SSL-Zertifikate für einzelne auf den deutschen oder europäischen Markt konzentrierte Websites unterscheiden sich grundlegend in zwei verschiedenen (preisbestimmenden) Ausprägungen:

1. Die Validierungsstufe: Es gibt domainvalidierte, organisationsvalidierte und erweitert validierte Zertifikate. Desto schwächer die Validierung, desto unsicherer eigentlich für den Websitebesucher. So sind domainvalidierte Zertifikate theoretisch phishinganfällig, jeder, der Inhaber einer (ähnlichen) Domain ist, wird, sofern er nicht gerade ins Flaggingsystem zur manuellen Bestätigung gerät, auch das jeweilige Zertifikat erhalten. Der Besucher der Website hofft also auf die Vertrauenswürdigkeit des Zertifikates, kann sich aber eigentlich nur darauf verlassen, dass die eingegebene oder verlinkte Domain auch der entspricht, auf die das Zertifikat ausgestellt wurde. Die meisten kleinen Onlineshops dürften aber hier nicht Gefahr eines Phishingangriffs laufen und so wählen viele kleinere Shops auch domainvalidierte Zertifikate. Organisationsvalidierte Zertifikate wird der Betreiber der Website geprüft und bestätigt, das wird auch im Zertifikat oder einem entsprechenden Trustlogo wiedergespiegelt. In solche Zertifikate kann durchaus ein höheres Vertrauen gesetzt werden und der Besucher kann sich sicher sein, die richtige URL angesurft zu haben. Durch die Einführung erweitert validierter Zertifikate sind diese jedoch weitestgehend obsolet geworden, denn hier erscheint die Firmierung und der Zertifikatsherausgeber (je nach Browser) sowie ggf. weitere Adressdaten nicht nur umständlich im Zertifikat sondern auch in der sich i.d.R. grün färbenden Adressleiste. Nachteil: Diese Zertifikate sind nicht nur sehr teuer und brauchen einige Zeit bis zur Ausstellung (auf Grund des 4-Augen-Prinzips) sondern sind derzeit auch Unternehmen vorenthalten, die in einem öffentlichen Register gelistet sind, also in Deutschland im Handelsregister eingetragen sind.

2. Die Browserabdeckung: Zunehmend gleichen sich hier die Zertifikate nach und nach an, da die neueren Browser und mobilen Geräte immer mehr Roots kennen, trotzdem kann man bei einem VeriSign- oder thawte-Zertifikat immer noch nahezu 100% sicher sein, in allen Geräten verfügbar und damit ohne Fehler beim Besucher unterstützt zu werden, während die jüngeren Zertifizierungsstellen durchaus in manch einem alten Browser, insbesondere aber in manch einem mobilen Gerät oder Java Virtual Machine (sofern Java-Applets verwendet werden) nicht verfügbar sind und daher nicht als vertrauenswürdig anerkannt werden.

Weitere Unterscheidungen sind Einzel-, Multidomain-, Unified Communications- und Wildcardzertifikate sowie beim geplanten Einsatz für Zielmärkte mit exportbeschränkten Browsern sogenannte SGC-Zertifikate, die eine höhere Verschlüsselung selbst bei eigentlich in der maximalen Verschlüsselungsstärke beschränkten Browsern erzwingen.

Für den Einstieg mag also durchaus ein 15 EURO-Zertifikat ausreichen, die jeweiligen Anbieter helfen hier bestimmt gerne beratend weiter.

Mit freundlichen Grüßen,
Christian Heutger

[darkstar]

Technisch funktionieren alle gleich - du bekommst Dein https. Es kommt - technisch gesehen - noch auf die Browserabdeckung an. Thawte / Verisign haben den Ruf der besten Browserabdeckung.

Ob da nun noch irgendwas wie versichert ist bzw. wie der Authentifizierungsprozess lief, sieht der Kunde in aller Regel nicht (Es sei denn, er wurde auf den gruenen URL-Balken der erweitert validierten Zertifikate konditioniert - dann ist aber alles andere kein SSL-Zertifikat ;-) ). Insofern duerfte der Rest maximal eine Rolle unter IT-Spezialisten und Shop-Zertifizierern spielen.


Multidomain / Wildcard etc. sind noch preiserhoehende Features, die keinem speziellen Aufwand im Zertifizierungsprozess gegenueber stehen.


MfG
darkstar

[heutger]

Hallo,

dem muss ich leider widersprechen. Die Browserabdeckung nannte ich ja schon als ein wichtiges Merkmal.

Der Validierungsprozess und die Versicherung bei Fehlausgabe beziehen sich durchaus aber auch nur auf die validierten Daten. Dabei sieht der Endanwender zwischen der Domain- und Organisationsvalidierung so einfach keinen Unterschied (man kann diesen aber über entsprechende Trustlogos durchaus perfekt abbilden), der Unterschied jedoch zur erweiterten Validierung ist just mit der grünen Adressleiste, was ein Feature der erweitert validierten Zertifikate in Abstimmung mit den Browserentwicklern darstellt, klar erkennbar. Dadurch bleiben schwächer validierte und weniger eindeutig dargestellte Zertifikate aber weiterhin auch Zertifikate, es ist halt nur eine weitere Funktion wie ein Backofen ein Display haben kann oder auch nicht, dadurch bleibt auch der einfache Backofen ein Backofen.

Wie schon erwähnt, reicht für einen einfachen kleinen Shop auch ein domainvalidiertes Zertifikat aus. Zertifikate mit grüner Adressleiste deuten hingegen darauf hin, dass es ein größerer Shop ist oder mehr finanzielle Mittel in die Zertifizierung gesteckt wurden. So liegt der Schluss häufig nahe, dass es sich hierbei um ein größeres und aufgrund der Bestimmungen, in einem öffentlichen Register gelistet zu sein, auch ein etablierteres Unternehmen handelt. Das muss aber nicht sein, auch viele Einzelunternehmen mit einem einfachen Zertifikat können groß, erfolgreich oder einfach nur kundenfreundlich sein. Gütesiegel-Ausgeber interessiert i.d.R. auch nur das Vorhandensein eines SSL-Zertifikates, egal welcher Validierungsstufe.

Multidomain und Wildcard unterliegen durchaus einem höheren Aufwand im Validierungsprozess. Erstere werden alle angegebenen Domains einzeln geprüft und muss auch die Inhaberschaft all jener Domains (oder zumindest die Erlaubnis zur Verwendung für den Zertifikatsinhaber) nachgewiesen werden. Wildcard-Zertifikate haben keinen zusätzlichen Aufwand, erhöhen aber das Versicherungsrisiko und werden auch noch einmal ausführlicher geprüft, gerade domainvalidierte was das Flaggingsystem anbetrifft, denn ein falsch ausgestelltes Zertifikat für *.google.com kann natürlich mehr Schaden anrichten, als bspw. nur ein Zertifikat für bspw. mail.google.com. EV-Zertifikate mit grüner Adressleiste gibt es daher gar nicht als Wildcard-Variante.

Mit freundlichen Grüßen,
Christian Heutger