SSL-Zertifizierungsstellen im Vergleich

SSL-Zertifizierungsstellen im Vergleich

13. Mai 2005 - Zertifizierungsstellen für SSL-Zertifikate lassen sich ihre Dienstleistung oftmals vergolden. Doch es geht auch günstiger.
Artikel erschienen in IT Magazine 2005/10

Ob Online-Shop, E-Banking oder Webmail-Login: Überall müssen persönliche Daten preisgegeben werden, die nicht in unberechtigte Hände gelangen dürfen. Neben einem sorgfältigen Umgang mit den Daten seitens des Dienstanbieters und des Anwenders gehört zu einem ordentlichen Datenschutz auch eine verschlüsselte Verbindung zwischen Client und Server, die dank SSL respektive TLS einfach zu realisieren ist. Doch zum Public-Key-Verfahren SSL gehört auch ein Zertifikat, das dazu dient, die Identität der Gegenstelle zu authentifizieren – in Zeiten von regelmässigen Angriffen von Phishern ein wichtiger Vorgang. Damit ein Zertifikat als vertrauenswürdig angesehen werden kann, muss es entweder vom Anwender manuell überprüft werden oder es kann von einer Zertifizierungsstelle signiert werden, welcher der Anwender vertraut und somit auch dem Zertifikat traut, das von dieser Stelle herausgegeben wurde.


Viele Unterschiede

Passende Zertifizierungsstellen (Certificate Authority, kurz CA) existieren beinahe so viele wie Sand am Meer, wobei sich die Angebote teils erheblich unterscheiden. Während man in früheren Jahren über 500 Dollar pro Jahr für die Signierung eines SSL-Zertifikats aufbringen musste, haben sich die Preise mittlerweile nach unten orientiert, wobei sich die Angebote nach wie vor stark unterscheiden – und dies nicht nur beim Preis. Anbieter wie die Geotrust-Tochter RapidSSL, die bis vor kurzem noch FreeSSL hiess, oder Comodo bieten Zertifikate bereits für 49 Dollar pro Jahr an. Bei Geotrust ist das günstigste Zertifikat für 149 Dollar erhältlich, während man bei Verisign für das günstigste Zertifikat bereits 349 Dollar pro Jahr auf den Tisch legen muss. Während auf den ersten Blick die Anbieter für ein und dieselbe Aufgabe ganz unterschiedliche Preise verlangen, erkennt man beim genaueren Hinsehen, dass dabei nicht nur Willkür im Spiel ist, sondern dass sich die angebotenen Services tatsächlich unterscheiden. Die Kosten berechnen sich dabei nach einer Vielzahl von Faktoren:




CA-Zertifikat: Damit ein Zertifikat vom Browser authentifiziert werden kann, muss es bei der ausstellenden CA im Browser vorhanden und als vertrauenswürdig eingestuft sein. Allerdings verfügt nicht jeder Anbieter über so ein Root-Zertifikat. Insbesondere Zertifizierungsstellen, die noch nicht lange am Markt sind, können, wenn überhaupt, nur in den neueren Browsern auf ein eigenes Root-Zertifikat zurückgreifen. Ist Kompatibilität mit älteren Browsern gefragt oder kein Root-Zertifikat vorhanden, muss die Zertifizierungsstelle einen Vertrag mit einer CA schliessen, die über ein Root-Zertifikat verfügt. Es werden dann sogenannte verkettete Zertifikate herausgegeben, bei denen ein Zwischenzertifikat auf dem Webserver nötig ist. Hier ist darauf zu achten, dass die Serversoftware die Zwischenzertifikate unterstützt. Zudem kann die Verkettung die Stabilität der Zertifikate beeinträchtigen (siehe Punkt «Laufzeit»).




Browser-Kompatibilität: Nicht jeder Browser enthält die Root-Zertifikate aller CAs. Insbesondere bei älteren Browsern aus der dritten oder vierten Generation fehlen die Zertifikate von Anbietern wie Geotrust oder Comodo. Weil diese Browser nicht über die Zertifikate dieser CAs verfügen, können sie nicht bestimmen, ob ein Zertifikat vertrauenswürdig ist oder nicht und werden deshalb eine Warnung anzeigen. Der Anwender muss dann das Zertifikat manuell überprüfen und, will er in Zukunft die Warnung nicht mehr sehen, das Root-Zertifikat der entsprechenden CAs manuell importieren. Ist man darauf angewiesen,
auch ältere Clients zu unterstützen, muss man bei der Anbieteraus-
wahl deshalb vor allem auf diesen Punkt achten.




Laufzeit: Die meisten Anbieter gewähren bei Vertragslaufzeiten von länger als einem Jahr teils erhebliche Rabatte. So lässt sich viel Geld sparen, allerdings nur, wenn man weiss, dass man das Zertifikat für eine lange Zeit benötigt und sichergehen kann, dass der Anbieter «stabil» ist, also über sein eigenes Root-Zertifikat verfügt. Bei Anbietern ohne eigenes Root-Zertifikat kann es sein, dass bei einem allfälligen Wechsel der Root-CA das Zertifikat verfällt.




Anzahl Domains/Server: Weiter variieren die Kosten der Zertifikate nach der Anzahl Domains und Server, bei denen ein Zertifikat zum Einsatz kommen soll. Die günstigsten Zertifikate sind in der Regel auf eine Domain (FQDN) sowie einen Server limitiert. Für die Installation auf weiteren Servern (beispielsweise bei Load Balancing mit Round Robin DNS) müssen Zuschläge bezahlt werden. Möchte man mehrere Subdomains absichern, zum Beispiel mail.domain.tld und www.domain.tld, benötigt man ein Wildcard-Zertifikat, das in der Regel ein Vielfaches eines herkömmlichen Zertifikats kostet.




Garantie: Etliche Zertifizierungsstellen haften für falsch ausgestellte Zertifikate gegenüber dem Endbenutzer. Je nach Zertifikatstyp und
-anbieter kann sich die Haftungsgrenze zwischen einigen hundert und einigen hunderttausend Dollar bewegen, wobei teurere Zertifikate in der Regel eine höhere Haftung beinhalten.




Site Seals: Site Seals fungieren als zusätzliche vertrauensbildende Massnahme neben dem Zertifikat gegenüber dem Endbenutzer. Bei den Site Seals handelt es sich meist um Buttons, die in der eigenen Seite eingebunden werden können und bei einem Klick auf den Button dem Endanwender zusätzliche Informationen zum Shop-Eigentümer wie Adresse oder Telefonnummer anzeigen.




Zertifizierung: Je nach Anbieter variieren die Anstrengungen zur Verifizierung der Identität der beantragenden Person teilweise stark. So überprüfen einige Zertifizierungsstellen nur, ob Antragssteller und Seiten-URL zusammenpassen, während andere Stellen, vor allem bei den teureren Zertifikaten, offizielle Dokumente verlangen.




Zertifizierungsstellen im Überblick

 
Seite 1 von 2

Neuen Kommentar erfassen

Anti-Spam-Frage Wieviele Fliegen erledigte das tapfere Schneiderlein auf einen Streich?
Antwort
Name
E-Mail
GOLD SPONSOREN
SPONSOREN & PARTNER