facebook-ad

Symantec-Zertifikate: Abstrafungen in den Rankings bei Google Chrome

Ein schwelender Streit zwischen Google und Symantec als Zertifizierungsstelle (CA) für SSL-Zertifikate war der Auslöser: Die von Symantec im Audit geprüften Verschlüsselungszertifikate entsprachen nicht den Anforderungen, die Google für seinen eigenen Browser Chrome verlangte. So stufte Google nun die Zertifikate herab und entzog den so verschlüsselten Webseiten das ehemals vergebene Vertrauen. Symantec ist im Bereich der Zertifizierung ein Branchenriese und für 42 Prozent der SSL-Zertifikate zuständig. Umso brisanter ist die durch Google erfolgte Herabstufung.Damit ein Zertifikat von Google anerkannt wird, benötigt es den Extended Validation Status (EV). Dabei handelt es sich um eine erweiterte Überprüfung des Zertifikats-Antragsstellers. Erst die EV garantiert dem Besucher einer Website, dass die Website legitimiert und sicher ist.Google entzieht diese Legitimierung durch die Herabstufung auf den Status Domain-Validität aller von Symantec ausgestellten Zertifikate.Google kommt den Nutzern der Zertifikate, die durch Symantec validiert wurden, jedoch entgegen: bis zu 9 Monate haben sie Zeit, sie gegen andere auszutauschen oder den Validation-Status zu erneuern.

Symantec-Zertifikate: Abstrafungen in den Rankings bei Google Chrome
 

Weshalb ist das für die Suchmaschinenoptimierung wichtig?

Da eine sichere Browser-Verbindung inzwischen ein Rankingfaktor ist, werden Webseiten ohne SSL-Verschlüsselung im Ranking herabgestuft.

Schon seit 2011 wurde die verschlüsselte Verbindung schrittweise stärker in unterschiedliche Browser implementiert. Google ist stets darum bemüht, den Usern der eigenen Software das bestmögliche Nutzererlebnis zu bieten. Dazu zählt auch eine sichere Verschlüsselung aller Daten, die bei der Kommunikation zwischen Server und Browser versendet werden. Deswegen wertet Google Seiten mit einer https-Verbindung höher und honoriert sie mit einer verbesserten Auffindbarkeit in der Suchmaschine.

Was ist SSL?

Das Kürzel SSL steht für Secure Socket Layer. Das ursprünglich von der Firma Netscape entwickelte Protokoll ermöglicht einen sicheren Dateiaustausch zwischen Kommunikationspartnern innerhalb einer Verbindung. Auch wenn SSL heutzutage ausschließlich mit dem World Wide Web in Verbindung gebracht wird, existiert es schon länger und war ursprünglich auch für eine sichere Kommunikation innerhalb von Netzwerk- oder anderweitigen Rechnerverbindungen gedacht. Des Weiteren bietet es auch eine Authentifizierungsoption der jeweiligen Kommunikationspartner.

Inzwischen wird SSL hauptsächlich für einen sicheren Austausch von Daten zwischen Browser und Server eingesetzt.

SSL ist eine Transportsicherung und wird im Browser durch den Protokolldesignator https verdeutlicht. Vor dem Aufbau einer Verbindung führt SSL eine Initialisierung durch das Handshake-Protokoll durch. Die Initialisierung bestimmt die Sicherheitsstufe, die zwischen Client und Server besteht. Des Weiteren übernimmt sie die Echtheitsbestätigung der Verbindung und stellt einen Sicherheitsschlüssel zur Verfügung.

Da es sich bei SSL hauptsächlich um eine Transportverschlüsselung handelt, wird heute fachlich korrekt eher von TLS für Transport Layer Security gesprochen – SSL hat sich jedoch im allgemeinen Sprachgebrauch durchgesetzt und wird deswegen weiterhin parallel verwendet.

Warum ist SSL wichtig?

Nicht nur für das Ranking und die Suchmaschinenoptimierung ist das Einbinden von https elementar. Sicherheit im Web ist im Allgemeinen ein relevantes Thema – nicht nur für Webmaster, sondern auch bei Usern erlangt es einen immer größeren Stellenwert.

Websites, die mittels SSL verschlüsselten Transport versprechen, genießen ein höheres Vertrauen bei den Nutzern. Vor allem bei Online-Shops sind solch vertrauensbildende Maßnahmen wichtig, da sensible Daten wie Kreditkartendaten, Kontonummern und persönliche Angaben des Kunden kommuniziert werden müssen. Kundendaten bedürfen einen besonderen Schutz – das muss jedem Webseitenbetreiber in Zeiten von Phishing-Attacken und anderen Methoden der Kompromittierungen bewusst sein. Das Bewusstsein der Internetnutzer bezüglich einer sicheren Datenverbindung wächst unaufhaltsam. Maßgeblich daran beteiligt sind auch die Affären und Skandale, die durch Whistleblower wie Edward Snowden aufgedeckt wurden. Wenn Ihnen an der Sicherheit der Daten Ihrer Kunden etwas liegt, ist ein SSL-Zertifikat ein Muss.

Welche Zertifikate sind geeignet?

Doch wie können Sie nun sicher sein, ein valides SSL-Zertifikat zu erhalten, wenn selbst Zertifizierungsstellen wie Symantec als nicht mehr vertrauenswürdig eingestuft werden? Neben Faktoren wie die Stärke der Verschlüsslung, Browserkompatibilität und Identitätsvalidität ist auch die Zertifikatsart relevant.

Grundsätzlich gibt es drei verschiedene Arten von SSL-Zertifikaten, die für unterschiedliche Einsatzzwecke geeignet sind.

1. Domain Validation

Zertifikate mit Domain Validation sind die am häufigsten eingesetzte Variante. Die Domain wird dabei über einen E-Mail-Prozess verifiziert, indem ein Mail-Robot eine Anfrage an die Domain-Datenbank WHOIS schickt und die darin verknüpfte Adresse überprüft. Der Domain-Inhaber erhält also eine E-Mail, mit der er sich als Besitzer der Domain verifiziert. Nach der Bestätigung wird das Zertifikat innerhalb weniger Minuten ausgestellt und kann verwendet werden. Die Variante eignet sich vor allem für kleine Websites, Blogbetreiber oder Mailserver.

2. Organisation Validation

Auch diese Art der Validierung findet über eine Überprüfung der Daten in der WHOIS-Datenbank statt. Im Unterschied zu der ersten Art werden jedoch unternehmensspezifische Dokumente wie beispielsweise ein Auszug aus dem Handelsregister verlangt, die den Domain-Inhaber verifizieren. Zusätzlich werden Bankdaten abgeglichen und der Inhaber in der Regel auch telefonisch kontaktiert.

3. Extended Validation

Diese Variante verwendet generell eine 256-Bit-Verschlüsselung – ist also mit einem noch sichereren Schlüssel ausgestattet. Aus diesem Grund wird mit den SSL-Zertifikaten die höchste Browser-Akzeptanz erreicht. Optisch wird das mithilfe einer grünen Adresszeile im Browser visualisiert. Zusätzlich wird unter dem Punkt „Zertifikatsinhaber“ der Domainname, das Unternehmen und der Ort aufgelistet. Die Validierung wird durch eine Zertifizierungsstelle vorgenommen, dabei werden ebenfalls wieder die Domain und die dazugehörige Identität überprüft. Auch wird die Befugnis geprüft, solch ein Extended Zertifikat verwenden zu dürfen.

Alternative: Selbst ausgestellte SSL-Zertifikate?

Da es eine schier unendliche Masse an Zertifizierungsstellen gibt, fällt die Wahl auf das richtige Zertifikat oftmals schwer. Eine Alternative ist es, sich selbst SSL-Zertifikate auszustellen, die vom Ersteller statt von einer CA unterschrieben sind.

Folgende Nachteile hat die Alternative:

- Einige Browser reagieren mit Warnmeldungen, da es sich bei der Zertifizierung nicht um eine offizielle CA-Stelle handelt.

- Folgend kann nicht mehr zwischen der verschlüsselten Verbindung und einer realen Man-in-the-Middle-Attacke unterschieden werden, bei der Anmeldedaten abgefangen werden. Das Vertrauen und die Sicherheit von Usern kann so nicht gewährleistet werden.

Fazit

Für Unternehmen bietet sich die Alternative der selbst erstellten Zertifikate leider nicht an, da Reputation und vertrauensbildende Maßnahmen unerlässlich für eine erfolgreiche Unternehmensführung und steigende Umsätze sind. Ein beim Aufrufen der Seite angezeigter Zertifikatsfehler trägt nicht zu einem erhöhten Sicherheitsgefühl der Kunden bei.

Stattdessen sollten Webseitenbetreiber und Webmaster deshalb ausschließlich Zertifikate einer etablierten und vertrauenswürdigen CA verwenden. Für Unternehmen mit Sitz in Deutschland sei noch erwähnt, dass deutsche Stellen zu bevorzugen sind. Gerade aufgrund des NSA-Skandals ist das die einzig sichere Variante, einer möglichen Ausspähung zu entkommen. Ein verifizierter Anbieter ist beispielsweise D-Trust.

Symantec hat inzwischen eingeräumt, die bisher als vertrauenswürdig ausgestellten Zertifikate durch eine dritte unabhängige Prüfstelle verifizieren zu lassen. Ob Google die Validierung anerkennt, ist jedoch bisher fraglich.

Benötigen Sie Hilfe bei der Auswahl der richtigen SSL-Zertifikate für Ihren Online-Shop oder Ihre Website? Die Spezialisten der Löwenstark Online-Marketing GmbH beraten Sie detailliert und zeigen Ihnen maßgeschneiderte Lösungen auf, die Ihrem Unternehmen den gewünschten Erfolg bescheren. Haben Sie Interesse? Wir freuen uns auf Ihre Kontaktaufnahme.

Wir freuen uns auf Ihr Projekt. Kontaktieren Sie uns!
Unverbindliche Erstanalyse

Beratung vereinbaren