Sehr häufig, wenn wir ein Produkt kaufen möchten, berücksichtigen wir als Erstes dessen Preis. Diese Regel bewährt sich jedoch überhaupt nicht, wenn wir ein passendes SSL-Zertifikat für unsere Website auswählen wollen. Bevor wir eine Entscheidung treffen, lohnt es sich zu prüfen, ob die jeweilige Sicherheitslösung für den konkreten Fall, also für eine bestimmte Website, geeignet ist. Am häufigsten denken wir über ein DV- oder ein OV-Zertifikat nach und auf diese beiden Typen konzentrieren wir uns in diesem Beitrag.
Wann reicht ein Standard-Domain-Validation-(DV)-Zertifikat aus?
Die Aufgabe von SSL-Zertifikaten besteht darin, die Daten zu verschlüsseln, die zwischen dem verwendeten Webbrowser und der Website in einer bestimmten Domain übertragen werden. Dies ist die grundlegende, aber nicht die einzige Funktion von SSL-Zertifikaten. Was bei der Auswahl dieser Art von Schutz oft vergessen wird, ist der Grad, in dem mithilfe einer solchen Absicherung die Daten des Website-Inhabers überprüft werden können. Wenn wir ausschließlich möchten, dass das SSL-Zertifikat nur die Domain validiert, lohnt es sich, auf eine DV-Lösung zurückzugreifen. Nach welchem Prinzip funktioniert ein solches Zertifikat? Nun, wenn wir eine Bestellung für diesen Schutz aufgeben, wird eine Validierung durchgeführt, bei der geprüft wird, ob die Daten des Domaininhabers, die in der WHOIS-Datenbank hinterlegt sind, mit den Angaben im CSR (Certificate Signing Request) übereinstimmen – also in der Datei, die bei der Zertifikatsbestellung übermittelt wird. Das Unternehmen, das diesen Schutz ausstellt, kann sich auch noch vergewissern, ob unter der genannten Domain tatsächlich eine bestimmte Website betrieben wird. Auf den ersten Blick mag der gesamte Validierungsprozess recht kompliziert erscheinen, aber in der Praxis ist er recht einfach. Wenn wir für unsere Domain ein SSL-DV-Zertifikat bestellen möchten, müssen wir lediglich ein neues E-Mail-Konto „admin“ in dieser Domain anlegen und anschließend die Bestätigung der Bestellung durchführen, die an die von uns angegebene Adresse gesendet wird. Da wir keine weiteren Dateien übermitteln müssen und das Verfahren automatisiert ist, verläuft die Validierung schnell und reibungslos.
Wann kommen SSL-Zertifikate vom Typ Organization Validation (OV) zum Einsatz?
Wenn wir ein Standard-Domain-Validation-(DV)-Zertifikat wählen, ist für den Internetnutzer nicht erkennbar, ob die Website, auf der er sich befindet, tatsächlich im Besitz einer bestimmten Organisation oder Firma ist. Diese Bestätigung ist besonders wichtig, wenn über die betreffende Seite Zahlungen vorgenommen werden können – also z. B. bei einem Onlineshop oder auf der Seite eines Finanzinstituts. Wenn solche Websites nicht entsprechend abgesichert sind, können Cyberkriminelle dies ausnutzen, etwa indem sie Websites erstellen, die auf den ersten Blick zum Verwechseln ähnlich aussehen wie die Seiten echter Unternehmen. Eine solche Täuschung lässt sich deutlich leichter aufdecken, wenn eine OV-Absicherung zum Einsatz kommt. Ähnlich wie bei DV-Zertifikaten ist auch bei der Auswahl eines OV-Zertifikats eine Domain-Validierung erforderlich. Zusätzlich werden die Informationen über das Unternehmen, das diesen Schutz bestellen möchte, geprüft. Das Verfahren ist daher etwas aufwendiger, da der Antragsteller für das OV-Zertifikat bestimmte Dokumente (z. B. einen Handelsregisterauszug oder einen Gesellschaftsvertrag) vorlegen muss. Obwohl der Validierungsprozess hier komplizierter ist, lohnt es sich, diesen Schritt zu gehen. In einigen Fällen erfolgt eine zusätzliche Überprüfung in Form eines Telefongesprächs. Websites, die über ein OV-Zertifikat abgesichert sind, werden von den Nutzern positiver wahrgenommen und genießen ein höheres Vertrauen.
Werfen Sie einen Blick auf unser Angebot an SSL-Zertifikaten: