HTTPS- und TLS-/SSL-Zertifikate

Alle Webauftritte sind von vorneherein sowohl unter http:// als auch unter https:// aufrufbar. Hierfür installieren wir zunächst ein selbsterstelltes TLS-Zertifikat, welches zu Einrichtungs- oder Testzwecken genügt, um nach Ignorieren der Browser-Warnungen verschlüsselt auf den Webauftritt zugreifen zu können.

Wenn Ihr Auftritt auch für die Öffentlichkeit verschüsselt erreichbar sein soll, etwa um der DSGVO bei der Übertragung personenbezogener Daten zu genügen, so muss ein offizielles SSL-Zertifikat installiert werden. Dies tun wir auf Anforderung kostenlos für Sie. Bitte beachten Sie hierzu den Artikel "Hinweise zur EU-Datenschutzverordnung". Dort finden Sie auch eine Beschreibung, wie Sie Ihren Webserver so konfigurieren, dass alle HTTP-Anfragen automatisch auf HTTPS umgeleitet werden.

Hinweis

1999 wurde wurde SSL (Secure Socket Layer) in TLS (Transport Layer Security) umbenannt. Wenn heutzutage von SSL gesprochen wird, ist meist von TLS die Rede (umgangssprachlich ist es also in Ordnung, von SSL zu sprechen). Die Nutzung von SSL (also nicht nur umgangssprachlich) und den damit verbundenen kryptographischen Chiffren bringt in diesem Jahrtausend allerdings keinen Vorteil in Bezug auf Vertraulichkeit und Sicherheit !

Technik kurzgefasst

Nachrichten zu verschlüsseln, ohne zu wissen, mit wem man wirklich kommuniziert (bei Webseiten z. B. das Onlinebanking der Bank, dem Weihnachtsmann oder einem Angreifer, der Daten abfängt und vielleicht auf dem Weg zwischen Bank und Ihnen manipuliert), bringt keinen nennenswerten Vorteil.

Hinter den TLS-Zertifikaten steckt das Konzept des "asymmetrischen Vertrauens".

Vergleich:

Bei der Prüfung Ihres Personalausweises (z. B. zur Prüfung Ihrer Volljärigkeit) wird nicht Ihnen, sondern formal der Bundesdruckerei vertraut.

  1. In unserem Fall werden die Zertifikate vom Deutschen Forschungsnetz e.V. (DFN)  digital unterschrieben.
  2. Das Zertifikat, mit dem der DFN e.V. unterschreibt, wurde wiederum von der "T-Systems International GmbH Telekom Security" (T-TeleSec) signiert.
  3. In jedem Browser (z. B. Mozilla Firefox) und Betriebssystem (z. B. Apple Macintosh, GNU/Linux) sind sogenannte Wurzelzertifikate installiert, so auch das Zertifikat der T-TeleSec.

Sobald der Webserver das Zertifikat zum Nachweis an den Browser ausliefert, prüft der Browser die Zertifikatskette. Diese kann der Browser über unser Zertifikat zum Zertifikat des DFN e.V. und schlussendlich zum Zertifikat der T-TeleSec zurückverfolgen (die T-TeleSec/Wurzel der Zertifikatskette wäre in dem oben beschriebenen Vergleich in der gleichen Position wie die Bundesdruckerei).

Wenn das Zertifikat ungültig/abgelaufen ist, der Zertifikatspfad nicht zu einer vertrauenswürdigen "Wurzel" zurückverfolgt werden kann bzw. ein Angreifer sich zwischen Sie und den Webserver geklemmt hat, bricht Ihr Browser die Verbindung ab.

Zertifikatskette von netzwerk.belwue.de Abbruch der Verbindung durch Browser bei fehlerhaftem Zertifikat
Beispiel Zertifikatskette von netzwerk.belwue.de Beispiel Abbruch der Verbindung durch den Browser.