Google drängt Händler zur Integration von SSL in Formulare
Google wird künftig unverschlüsselte Websites markieren. „Die Integration von SSL-Zertifikaten wird zur Pflicht“ kommentiert SSL-Zertifikatsanbieter PSW Group. „Online-Händler, deren Webformulare Daten unverschlüsselt übertragen, werden künftig nicht mehr nur von Datenschutzbehörden mahnend angeschrieben. Auch der Suchmaschinenriese Google will bald alle Webseiten ohne SSL-Verschlüsselung mit einem roten X markieren.“
Der Suchmaschinenbetreiber nutzt das Vorhandensein der HTTPS-Verschlüsselung schon seit 2014 als Signal für besseres Ranking in den Suchergebnissen. Der neue Schritt, unsichere Seiten noch kenntlicher zu machen, entspricht Googles damaliger Ankündigung, das Internet sicherer zu machen.
Besonders sensible Angriffsstellen zum „Absaugen“ von Daten durch Cyberkriminelle sind Kontaktformulare, Bestellformulare für Online-Shops oder Kommentarfunktionen, zu deren Nutzung Kunden mindestens ihren Namen und ihre E-Mail-Adresse angeben müssen
Der Verkäufer von SSL/TLS-Zertifikaten PSW nimmt dies zum Anlass, auf seine Sicherheitsdienste hinzuweisen. Solche Zertifikate sind bereits ab 15 Euro jährlich (in ihrer einfachsten Form) erhältlich. Der Anbieter verwendet dabei domainvalidierte Zertifikate, bei denen eine Zertifizierungsstelle prüft, ob der Antragsteller auch der Domaininhaber ist. „Die für den Verbraucher Vertrauen-spendenden Zeichen im Browser sind kaum sichtbar, für private Websites wie Blogs ist das aber völlig in Ordnung“, erklärt PSW- Geschäftsführer Christian Heutger. Weiterführende Absicherungen und ihre klarere Darstellung im Browser kostet jedoch extra.
Um ein SSL/TLS-Zertifikat zu erstellen, hilft die Installation eines Toolkits, mit dem sich die SSL/TLS-Zertifikate auch verwalten lassen. „OpenSSL gehört hier zu den am meisten verbreiteten Lösungen. Bevor das eigentliche SSL-Zertifikat erstellt werden kann, muss jedoch zunächst ein Certificate Signing Request, kurz CSR, angelegt werden. Die CSR wird für die Bestellung des eigentlichen SSL/TLS-Zertifikats bei einer Zertifizierungsstelle benötigt. Im CSR sind Informationen über den Antragsteller und der zu verschlüsselnden Domain gespeichert, außerdem findet sich hier der öffentliche Schlüssel für die Verschlüsselung von Daten“, führt Heutger aus.
Das Schlüsselpaar, das aus dem privaten Schlüssel und der CSR besteht, kann nur mit der angegebenen Domain verwendet werden. Zwar gibt es kostenlose Services, um solche Zertfikate selbst zu erstellen, etwa das der „Let’s Crypt“-Initiative, das jetzt erst aus seiner Betaphase heraus ist.
Doch aufgrund von Schwierigkeiten mit Browser-Kompatibilitäten betrachtet der Experte die Möglichkeit, ein eigenes SSL-Zertifikat zu erstellen, als kritisch: „SSL/TLS-Zertifikate sollten so ausgestellt werden, dass auch ältere Internet Explorer-Versionen sowie sämtliche mobilen Browser und selbst Exoten wie Opera Mobile einbezogen werden. Hinzu kommt, dass mit selbst erstellten Zertifikaten die Identitätsprüfung der Zertifizierungsstellen wegfällt, sodass ein wertvoller Zweck des Zertifikats, nämlich die Authentifizierung, verlorengeht“, so Christian Heutger.
Und so ist Googles neue Kennzeichnung ein weiterer Hinweis für Anbieter von Webshops und anderen E-Commerce-Angeboten, organisationsvalidierte SSL/TLS-Zertifikate zu kaufen, bei denen die Prüfung über die Inhaberschaft der Domain hinaus geht. Domainvalidierte Einzelzertifikate mit einer Laufzeit von einem Jahr sind bei PSW GROUP ab 49 Euro erhältlich. Wer die Laufzeit auf drei Jahre erhöhen möchte, zahlt je Zertifikat noch 43 Euro pro Jahr. Einige Anbieter von Shop-Lösungen integrieren dies allerdings schon in ihren eigenen Diensten und Preisen.
Wer die bestmögliche Validierung und die höchsten Branchensicherheitsstandards deutlich gegenüber den Kunden klarstellen und im Browser anzeigen will, bekommt das Komplettpaket bei PSW ab 199 Euro jährlich, bei einer Laufzeit von zwei Jahren ab 349 Euro.
Wer dies nicht bei PSW oder anderen Security-Anbieter investiert, läuft Gefahr, mit seinem Shop unter “ferner liefen” weiit hinten in der Suche aufzutauchen und dann zudem mit einem hässichen roten Kreuzchen gekennzeichnet zu sein, das eher abschreckt.