Ob Online-Shop, E-Banking oder Webmail-Login: Überall müssen persönliche Daten preisgegeben werden, die nicht in unberechtigte Hände gelangen dürfen. Neben einem sorgfältigen Umgang mit den Daten seitens des Dienstanbieters und des Anwenders gehört zu einem ordentlichen Datenschutz auch eine verschlüsselte Verbindung zwischen Client und Server, die dank SSL respektive TLS einfach zu realisieren ist. Doch zum Public-Key-Verfahren SSL gehört auch ein Zertifikat, das dazu dient, die Identität der Gegenstelle zu authentifizieren – in Zeiten von regelmässigen Angriffen von Phishern ein wichtiger Vorgang. Damit ein Zertifikat als vertrauenswürdig angesehen werden kann, muss es entweder vom Anwender manuell überprüft werden oder es kann von einer Zertifizierungsstelle signiert werden, welcher der Anwender vertraut und somit auch dem Zertifikat traut, das von dieser Stelle herausgegeben wurde.
Passende Zertifizierungsstellen (Certificate Authority, kurz CA) existieren beinahe so viele wie Sand am Meer, wobei sich die Angebote teils erheblich unterscheiden. Während man in früheren Jahren über 500 Dollar pro Jahr für die Signierung eines SSL-Zertifikats aufbringen musste, haben sich die Preise mittlerweile nach unten orientiert, wobei sich die Angebote nach wie vor stark unterscheiden – und dies nicht nur beim Preis. Anbieter wie die Geotrust-Tochter RapidSSL, die bis vor kurzem noch FreeSSL hiess, oder Comodo bieten Zertifikate bereits für 49 Dollar pro Jahr an. Bei Geotrust ist das günstigste Zertifikat für 149 Dollar erhältlich, während man bei Verisign für das günstigste Zertifikat bereits 349 Dollar pro Jahr auf den Tisch legen muss. Während auf den ersten Blick die Anbieter für ein und dieselbe Aufgabe ganz unterschiedliche Preise verlangen, erkennt man beim genaueren Hinsehen, dass dabei nicht nur Willkür im Spiel ist, sondern dass sich die angebotenen Services tatsächlich unterscheiden. Die Kosten berechnen sich dabei nach einer Vielzahl von Faktoren:
•
CA-Zertifikat: Damit ein Zertifikat vom Browser authentifiziert werden kann, muss es bei der ausstellenden CA im Browser vorhanden und als vertrauenswürdig eingestuft sein. Allerdings verfügt nicht jeder Anbieter über so ein Root-Zertifikat. Insbesondere Zertifizierungsstellen, die noch nicht lange am Markt sind, können, wenn überhaupt, nur in den neueren Browsern auf ein eigenes Root-Zertifikat zurückgreifen. Ist Kompatibilität mit älteren Browsern gefragt oder kein Root-Zertifikat vorhanden, muss die Zertifizierungsstelle einen Vertrag mit einer CA schliessen, die über ein Root-Zertifikat verfügt. Es werden dann sogenannte verkettete Zertifikate herausgegeben, bei denen ein Zwischenzertifikat auf dem Webserver nötig ist. Hier ist darauf zu achten, dass die Serversoftware die Zwischenzertifikate unterstützt. Zudem kann die Verkettung die Stabilität der Zertifikate beeinträchtigen (siehe Punkt «Laufzeit»).
•
Browser-Kompatibilität: Nicht jeder Browser enthält die Root-Zertifikate aller CAs. Insbesondere bei älteren Browsern aus der dritten oder vierten Generation fehlen die Zertifikate von Anbietern wie Geotrust oder Comodo. Weil diese Browser nicht über die Zertifikate dieser CAs verfügen, können sie nicht bestimmen, ob ein Zertifikat vertrauenswürdig ist oder nicht und werden deshalb eine Warnung anzeigen. Der Anwender muss dann das Zertifikat manuell überprüfen und, will er in Zukunft die Warnung nicht mehr sehen, das Root-Zertifikat der entsprechenden CAs manuell importieren. Ist man darauf angewiesen,
auch ältere Clients zu unterstützen, muss man bei der Anbieteraus-
wahl deshalb vor allem auf diesen Punkt achten.
•
Laufzeit: Die meisten Anbieter gewähren bei Vertragslaufzeiten von länger als einem Jahr teils erhebliche Rabatte. So lässt sich viel Geld sparen, allerdings nur, wenn man weiss, dass man das Zertifikat für eine lange Zeit benötigt und sichergehen kann, dass der Anbieter «stabil» ist, also über sein eigenes Root-Zertifikat verfügt. Bei Anbietern ohne eigenes Root-Zertifikat kann es sein, dass bei einem allfälligen Wechsel der Root-CA das Zertifikat verfällt.
•
Anzahl Domains/Server: Weiter variieren die Kosten der Zertifikate nach der Anzahl Domains und Server, bei denen ein Zertifikat zum Einsatz kommen soll. Die günstigsten Zertifikate sind in der Regel auf eine Domain (FQDN) sowie einen Server limitiert. Für die Installation auf weiteren Servern (beispielsweise bei Load Balancing mit Round Robin DNS) müssen Zuschläge bezahlt werden. Möchte man mehrere Subdomains absichern, zum Beispiel mail.domain.tld und www.domain.tld, benötigt man ein Wildcard-Zertifikat, das in der Regel ein Vielfaches eines herkömmlichen Zertifikats kostet.
•
Garantie: Etliche Zertifizierungsstellen haften für falsch ausgestellte Zertifikate gegenüber dem Endbenutzer. Je nach Zertifikatstyp und
-anbieter kann sich die Haftungsgrenze zwischen einigen hundert und einigen hunderttausend Dollar bewegen, wobei teurere Zertifikate in der Regel eine höhere Haftung beinhalten.
•
Site Seals: Site Seals fungieren als zusätzliche vertrauensbildende Massnahme neben dem Zertifikat gegenüber dem Endbenutzer. Bei den Site Seals handelt es sich meist um Buttons, die in der eigenen Seite eingebunden werden können und bei einem Klick auf den Button dem Endanwender zusätzliche Informationen zum Shop-Eigentümer wie Adresse oder Telefonnummer anzeigen.
•
Zertifizierung: Je nach Anbieter variieren die Anstrengungen zur Verifizierung der Identität der beantragenden Person teilweise stark. So überprüfen einige Zertifizierungsstellen nur, ob Antragssteller und Seiten-URL zusammenpassen, während andere Stellen, vor allem bei den teureren Zertifikaten, offizielle Dokumente verlangen.
Zertifizierungsstellen im Überblick
Welchen Anbieter soll man nun wählen? Die wohl entscheidendste Frage ist dabei die Browser-Unterstützung. Ist der Support für alte Browser unabdingbar, gilt es sich in Richtung von Anbietern wie Thawte oder Verisign zu orientieren, die zwar nicht besonders günstig sind, aber zu den wenigen Root-CAs gehören, die auf entsprechende Root-Zertifikate zurückgreifen können, die selbst Netscape 2.0 und Internet Explorer 3.0 unterstützen. Spielt der Support für alte Browser kaum oder gar keine Rolle, was sich anhand von Besucherstatistiken leicht feststellen lässt, kann man sich an zwei Punkten orientieren: dem Preis und der Sicherheit, welche die Zertifikate dem Anwender bieten. Während sich für Low-Risk-Anwendungen wie Webmail-Logins jeder Zertifikatstyp bestens eignet, gilt es bei Medium-Risk-Anwendungen wie Webshops mit Kreditkarten-Bezahlung genau abzuwägen, ob ein stärker verifiziertes Zertifikat mit einer adäquaten Haftungssumme und eventuell sogar einem Site Seal nicht eine sinnvolle vertrauensbildende Massnahme darstellt.
Sind diese Überlegungen abgeschlossen, gilt es einen passenden Anbieter zu suchen. Hierbei empfiehlt es sich, die jeweiligen Angebote der Anbieter selber miteinander zu vergleichen. Eine Startmöglichkeit kann die InfoWeek-Übersicht auf Seite 43 bieten, wobei von jedem Anbieter nur jeweils das günstigste Zertifikat erfasst wurde.
Hat man einmal einen Anbieter gefunden, kann es sich lohnen, wenn man sich an einen Reseller der bekannten CAs wendet. Diese können durch grosse Abnahmemengen bei den CAs von teils beachtlichen Mengenrabatten profitieren, die dann an die Kunden weitergegeben werden. Ähnliches gilt für etliche Anbieter von Shared-Hosting- und Miet-Servern, die ebenfalls Zertifikate zu günstigeren Konditionen anbieten, meist in Kombination mit ihren sonstigen Dienstleistungen. Die Zertifizierung findet meist über die Infrastruktur der ursprünglichen CA statt, wodurch man keine Qualitätseinbussen befürchten muss und dasselbe Produkt erhält, wie wenn man bei der ausstellenden CA direkt einkaufen würde.
