SSL steht für Secure Sockets Layer und ist ein Protokoll zur Verschlüsselung von Datenübertragung im Internet. Der Begriff SSL ist noch weit verbreitet, obwohl SSL offiziell 1999 durch Transport Layer Security (TLS) abgelöst wurde. Im Folgenden erklären wir daher TLS, synonym für SSL.
Als Protokoll sitzt TLS zwischen TCP und der Anwendungsebene. Am häufigsten wird es mit HTTP bzw. HTTPS (Hypertext Transfer Protocol Secure) eingesetzt. Andere Anwendungen sind z.B. Email Protokolle (IMAP, POP, SMTP).
TLS ist die Grundlage zur sicheren Kommunikation von Browser und Server. Vor ein paar Jahren wurden noch Webseiten, von Browsern wie Chrome, mit TLS als sicher angezeigt. Heutzutage ist es anders herum: Webseiten ohne TLS werden als unsicher angezeigt.
Technisch steckt hinter TLS eine ganze Reihe an Funktionen: Damit der Browser dem Server vertraut, muss der Server ein Zertifikat vorweisen, das durch eine Kette von Zertifikaten auch indirekt dem Browser bekannt ist (verantwortlich sind dafür sogenannte 'Certificate Authorities', kurz CA). Dieses Zertifikat ist an eine bestimmte Domain gebunden, z.B. example.com
oder admin.example.com
. Sobald etabliert ist, dass dem Server vertraut werden kann, tauschen Browser und Server Schlüssel aus, mit denen dann alle weiteren Anfragen verschlüsselt werden.
Wer stellt Server Zertifikate aus?
Die Ausstellung eines TLS Zertifikat erfolgt durch eine Certificate Authority. Diese sind in der Regel einzelne Unternehmen, die ihre Authorität an andere Unternehmen weitergeben können. Traditionell wird ein Zertifikat für ein oder mehrere Jahre gekauft.
Durch Let's Encrypt (LE) hat sich der Markt massiv verändert: Let's Encrypt stellt kostenlose Zertifikate aus, die für drei Monate gültig sind. Das zwingt Anbieter dazu, die Erneuerung der Zertifikate zu automatisieren. Damit entfällt gleichzeitig das Problem der abgelaufenen Zertifikate.
Sind Zertifikate mit Extended Validation wichtig?
Zertifikate mit Extended Validation (EV) wurden lange von Browsern besser behandelt - zum Beispiel wurde direkt im Browser der Name des Unternehmens angezeigt, auf das das Zertifikat ausgestellt wurde. Mittlerweile gibt es diese Funktion nicht mehr. Damit ist auch der Mehrwert von EV entfallen und die sehr viel höheren Kosten nicht mehr zu rechtfertigen. Entsprechend ist es auch in Ordnung, dass es bei Let's Encrypt (s.o.) kein EV gibt.
Wie funktionieren Zertifikate bei wao.io?
wao.io kümmert sich um die Erstellung von Zertifikaten mit Hilfe von Let's Encrypt und übernimmt die automatische Erneuerung. Es gibt aber auch die Möglichkeit, eigene eingekaufte Zertifikate hochzuladen.