Welche Arten von SSL-Zertifikaten gibt es und welchen Typ brauche ich?
Kommen wir mal zu den leicht fortgeschrittenen Themen. Wer nämlich aufmerksam die Beschreibungen von SSL-Zertifikaten liest, wird auf einige spezielle Begriffe stoßen wie “DV” oder “Wildcard”. Was hat es damit auf sich?
Tatsächlich ist SSL-Zertifikat nicht gleich SSL-Zertifikat. Es gibt unterschiedliche Typen, mit verschiedenen Namen und Bezeichnungen.
Welche Zertifikate es gibt und wie du sie am besten einsetzt, erkläre ich dir hier:
SSL-Zertifikate kommen in verschiedenen Sicherheitsstufen
Generell gibt es zwei Arten, SSL-Zertifikate zu unterscheiden.
Zuerst musst du dich für eine Sicherheitsstufe entscheiden. Diese hat auch Einfluss darauf, wie lange der Prozess bis zur Zertifikatserstellung dauert und wie viele Angaben du dafür machen musst.
In Sachen Sicherheit unterscheiden wir drei Typen:
- Domain Validation (DV)
- Organisation Validation (OV)
- Extended Validation (EV)
Domain Validation (DV)
Die Domain-validierten Zertifikate sind am einfachsten zu bekommen. Sie sind an deine Domain gebunden und bescheinigen lediglich, dass es deine Domain gibt und sie auf einen existierenden Webserver verweist.
Das Zertifikat beinhaltet aber keine Informationen über die zugehörige Website oder die Identität des Domain-Inhabers. Daher ist das Zertifikat nur ein kleiner Vertrauenstoken.
Empfehlung: Dieser kleine Token kann aber für kleine Hobbyprojekte wie dein Portfolio oder deinen Blog bereits ausreichen. Andere Anwendungsbereiche für DV sind ein eigenes Intranet oder ein Mailserver.
Organisation Validation (OV)
Während deine DV nur an deine Domain gebunden ist, gibt ein OV-Zertifikat zusätzlich den Inhaber des Zertifikats mit an. Du weißt als Besucher:in der Webseite also nicht nur, ob die Domain und die Website existieren, sondern auch, zu wem sie gehören.
Die Identität des Inhabers oder der Inhaberin wird dabei von der Zertifizierungsstelle geprüft. Wenn du ein solches Zertifikat willst, musst du deine Kontakt- und teilweise auch deine Bankdaten angeben.
Empfehlung: Etwas mehr Aufwand, allerdings genießt ein solches Zertifikat auch mehr Vertrauen. Du solltest zu diesem Zertifikat greifen, wenn du eine größere Unternehmensseite, ein Forum, einen Online-Shop oder Projekte betreibst, die viele personenbezogene Daten verarbeiten.
Extended Validation (EV)
Extended Validation ist quasi “SSL Endgame”. Hier wird aber nicht nur deine Identität als Inhaber:in der Domain geprüft; du musst einen 16 Punkte-Plan für die Überprüfung in folgenden Bereichen durchlaufen:
- Domain
- Inhaber:in
- Identität
- Rechtsstatus
- Postanschrift
Empfehlung: Dieses Zertifikat ist dann wichtig und empfehlenswert, wenn du mit besonders sensiblen Datensätzen zu tun hast. Das sind beispielsweise große Markenkonzerne, Regierungsseiten, Bankgeschäfte oder Gesundheitsdaten aus dem medizinischen Bereich.
SSL-Zertifikate decken unterschiedlich viele Domains ab
Die zweite Unterscheidung neben dem Sicherheitslevel besteht darin, was dein SSL-Zertifikat mit seinem Umfang schützt. Achte hierbei auf verschiedene Typen:
Wildcard-SSL
Ein normales SSL-Zertifikat sichert gewöhnlich nur einen Domain-Namen ab. Also etwa “MeineSeite.de” und alle Unterseiten wie “MeineSeite.de/Kontakt” und Co.
Bei einem Wildcard-Zertifikat werden Platzhalter verwendet. Auf diese Weise kann nicht nur eine Domain geschützt werden, sondern auch die Sub-Domains. Oft gibt es dabei für die Subdomains kein Limit.
Beispiel: Ein solches Zertifikat schützt dann nicht nur “MeineSeite.de”, sondern auch die Page “Hilfe.MeineSeite.de” oder “Shop.MeineSeite.de”.
Hier gibt es zwei gewaltige Vorteile: Du musst nicht für jede Subdomain ein eigenes Zertifikat verwenden und du hast die Möglichkeit, nachträglich Subdomains mit dem gleichen Zertifikat zu sichern.
SAN-SSL/Multidomain-SSL
SAN (kurz für “Subject Alternative Names”, auch Multidomain-Zertifikat) ist ähnlich wie ein Wildcard-Zertifikat, sichert aber mehrere Hauptdomains ab. So sicherst du zum Beispiel nicht nur “MeineSeite.de”, sondern auch “MeinShop.de”.
Root-Zertifikat
Ein solches Zertifikat wirst du selber oft nicht brauchen. Aber der Vollständigkeit halber, hier ein Überblick:
Es handelt sich hier um eine Art Bibliothek, in der zulässige Zertifikate aufgelistet sind. Möchte sich ein User per SSL mit deiner Website verbinden, kann im Root-Verzeichnis nachgesehen werden, ob der anfragende User ein gültiges Zertifikat hat.
Du kannst dir das Vorstellen wie eine Gästeliste. Steht das SSL-Zertifikat drauf, wird eine SSL-Verbindung hergestellt.
Jede Zertifizierungsstelle hat solche Root-Zertifikate, um SSL-Anfragen als (un)gültig zu bewerten.