Zurück zur Übersicht

Inhalt

Artikel teilen

Beliebte Beiträge

SSL-Verschlüsselung in Online-Shops – personenbezogene Daten schützen

Leuchtet in Ihrem Online-Shop das grüne Schloss, wenn Sie die Seite im Browser aufrufen? Wer heute im Internet surft, der kommt nicht um die Frage herum, wie es dabei um die Sicherheit seiner Daten bestellt ist. Besonders Unternehmen, die im Internet verkaufen sind darauf angewiesen eine vertrauenswürdige und sichere Internetpräsenz zu besitzen, um die Privatsphäre der Nutzer beim Online-Zahlungsverkehr zu schützen. SSL (Secure Sockets Layer) bietet die Möglichkeit der sicheren Übertragung von Kundendaten.

Neue Sicherheitsanforderungen für Shopbetreiber

Der wachsende finanzielle Wert von personenbezogenen Daten hat dazu geführt, dass bestehende Sicherheitslücken immer häufiger für Datendiebstähle missbraucht werden. Das hatte wiederum zur Folge, dass IT-Sicherheit heute ein viel diskutiertes Thema ist und die allgemeinen Sicherheitsanforderungen an Webseiten gestiegen sind.

Und der Staat reagiert: Im Jahr 2015 kam es zur Verabschiedung eines neuen IT-Sicherheitsgesetzes, das auch neue Pflichten im Online-Handel beinhaltet, dem jetzt eine technische Sicherungspflicht obliegt (andere typische Stolperfallen für Online-Shops finden Sie hier). Besonders Betreiber eigener Online-Shops zwingt das zu wesentlichen Umstellungen. Da die SSL-Verschlüsselung als sichere Methode gilt und die Umsetzung, im Vergleich zu anderen Verfahren, einen relativ geringen Aufwand erfordert, bieten sich SSL-Zertifikate für Shopbetreiber an, in denen die Daten eine Valdidierung durchlaufen.

ssl-ecommerce

Was sich hinter dem Begriff SSL verbirgt

Das SSL-Zertifkat ist ein hybrides Verschlüsselungsprotokoll, anhand dessen personenbezogene Daten durch die Einbindung von Zertifikaten in Domains kodifiziert und so vor Zugriffen durch Dritte bei der Eingabe und im Transferprozess geschützt werden. In den letzten Jahren ist diese Technologie zum weltweiten Standard in der Verschlüsselung aufgestiegen und zeichnet sich besonders dadurch aus, dass die Einbettung wenig zeit- und kostenintensiv ist.  Durch das Verfahren werden die eingegebenen Daten verschlüsselt und einzig für den bestimmungsgemäßen Empfänger zur Dekodierung freigegeben. Der Einsatz der SSL-Technologie ist für den Nutzer daran ersichtlich, dass das normale Übertragungsprotokoll „http“ um ein „s“ ergänzt wird. SSL-Zertifikate sind kleine Dateien, die Ihre Daten mit einem digitalen kryptographischen Schlüssel versehen.

Bei einer Verbindung zwischen Webserver und Browser sorgt das Sicherheitsprotokoll SSL für:

  • Schutz gegen Manipulation
  • Schutz gegen einen unberechtigten Zugriff während der Übertragung
  • Digitales Anhängen eines kryptographischen Schlüssels an Ihre Webseiten
  • Authentifizierung des Unternehmens und/oder der Domain

Mit einem aktivem SSL profitieren Shops mit Vollverschlüsselung, die auf aktuellen Apache-Versionen laufen, außerdem von dem schnelleren http2, spdy und quic. Das heißt, der Abruf der Webseiten wird spürbar beschleunigt.

Unterschiede bei den SSL-Zertifikaten

Alle Zertifikate eint der Vorteil, dass der Firmenname in der Adresszeile mit angezeigt wird, beispielsweise: https://www.paypal.com. Grob lassen sich drei verschiedene Typen unterscheiden:

  • Domainvalidierte SSL-Zertifikate: Bei diesen wird geprüft, ob einem die Domain tatsächlich gehört, dies geschieht meist automatisiert, zum Beispiel via whois-Einträge zur Domain.
  • Organisationsvalidierte SSL-Zertifikate: Dabei wird zusätzlich auch das Unternehmen geprüft, das heißt die Zertifizierungsstelle prüft den Gewerbeschein und den Handelsregisterauszug.
  • Erweitert validierte SSL-Zertifikate: Hier wird eine noch gründlichere Prüfung durchgeführt.

Die Zertifikate unterscheiden sich also darin, dass dem Besucher mehr oder weniger Informationen über die Firma, die hinter der Domain steckt, gezeigt werden.

Anders als viele annehmen, sind die Zertifikate nicht an die IP gebunden, sondern an eine bestimmte Domain.  Wenn zusätzlich auch Subdomains abgesichert werden sollen, dann empfiehlt sich ein Wildcard-Zertifikat (dann ist auch www.example.org, shop.example.org und cdn.example.org etc. möglich). Es können über Multidomain-Zertifikate sogar mehrere Domains mit dem gleichen SSL-Zertifikat abgedeckt werden (z.B. www.example.org und www.example-shop.org).

Die Benennung der Zertifikate kann sich aber von Anbieter zu Anbieter unterscheiden: Wildcard-Zertifikate werden teils auch als Multidomain-Zertifikate bezeichnet und umgekehrt. Hier lohnt es sich aufgrund der unterschiedlichen Limitierungen die Beschreibung der jeweiligen Angebote genau zu lesen. Auch preislich unterscheiden sich die drei Varianten.

ssl-kundendaten

Wie funktioniert die SSL-Einrichtung

Zunächst werden auf dem Webserver ein Private-Key und ein Public-Key erstellt, um danach ein CSR (Certificate Signing Request) einzurichten und dieses mit dem Private-Key zu signieren. Im CSR sind die allgemeinen Firmendaten hinterlegt, im „Common-Name“ befindet sich die Domain für die das Zertifikat erstellt wird. Im dritten Schritt wird der CSR zum Anbieter des SSL-Zertifikates gesendet und anschließend bekommt der Kunde einen CST zurück, dabei handelt es sich um den vom SSL-Anbieter signierten CSR. Nun müssen noch der CRT und der anfangs generierte Private-Key im Webserver und eventuelle benötigte Zwischenzertifikate eingerichtet werden.

Nach der Einrichtung sollten Sie umgehend sicherstellen, dass alles richtig angelegt wurde. Dazu können Sie zum Beispiel https://www.ssllabs.com/ssltest/ nutzen. Häufig wird das Einrichten eines Zwischenzertifikats vergessen, was zur Folge hat, dass einige Browser das gültige Zertifikat für ungültig halten.

Danach sollten die üblichen Shop-Abläufe getestet werden: Versuchen Sie zum Beispiel Google Chrome mit geöffneter Debug-Konsole zu bedienen und achten Sie besonders darauf, dass keine „Mixed-Content“-Fehler in der Konsole auftreten. Diese Fehlermeldung bedeutet, dass trotz SSL-Verschlüsselung noch nicht alle Elemente über die Sicherheitsverschlüsselung geladen werden. Der spätere Nutzer Ihres Shops kann dann nicht mehr erkennen, was nun verschlüsselt oder unverschlüsselt übertragen wird. Das „https“ wird dann oft als durchgestrichen angezeigt und der IE gibt in manchen Fällen Warnungen als Popups aus, die Ihre Nutzer natürlich beunruhigen würden. Achten Sie also unbedingt darauf, dass bei bestehender SSL-Verschlüsselung auch wirklich alle Elemente in der Seite über diese geladen werden. Es ist nicht ungewöhnlich, dass die Korrektur falsch eingebundener URLs den Großteil der Arbeit beim Einrichten des SSL-Zertifikates ausmacht.

Ein abschließender Tipp: Behalten Sie das Ablaufdatum der Zertifikate im Auge und notieren Sie dieses am besten direkt im Kalender, damit Sie nicht vergessen sich rechtzeitig um eine Erneuerung zu kümmern. In der Regel wird solch ein Zertifikat schon ein paar Tage vor dem Ablaufdatum ausgetauscht, um ganz sicher zu gehen, dass ein abgelaufenes Zertifikat vermieden wird – denn das würde sicher von den Nutzern nicht unbemerkt bleiben und zu Kaufabbrüchen führen.

Fazit

Wer seinen Kunden Sicherheit und Vertraulichkeit beim Online-Shopping bieten will, für den sind Sicherheitsverschlüsselungen wie SSL unverzichtbar. Für Sie als Shopbetreiber ist SSL auch wegen der vergleichsweise schnellen und unkomplizierten Einrichtung und dem geringen Kostenaufwand interessant.

Wenn Sie noch weitere Fragen zum Thema SSL-Verschlüsselung haben, dann wenden Sie sich an uns. Gerne übernehmen wir auch die Einrichtung eines SSL-Zertifikats in Ihrem Online-Shop.

Bernd Hesse
Software-Entwickler