Demoshops

Welches SSL-Zertifikat für einen Shop?

von

Bernd Schmitt
in

Jeder Onlinehändler und jede Onlinehändlerin ist durch die DSGVO (Datenschutzgrundverordnung) dazu verpflichtet, den Onlineshop mit einem SSL-Zertifikat abzusichern, also auf einer einer HTTPS-Domain zu betreiben. Neben der gesetzlichen Vorgabe sprechen aber noch eine Reihe anderer Gründe für eine Verschlüsselung: 

Warum ein SSL-Zertifikat?

  • Sicherheit – Schutz vor Hackern
  • SEO – Seiten ohne SSL-Zertifikat werden von Google abgestraft
  • Vertrauen – Einige Browser warnen den Benutzer bei der Eingabe von Daten in ein Kontaktformular, wenn keine Verschlüsselung vorliegt
  • Haftung –  Im Falle eines Datendiebstahls können Forderungen nach Schadensersatz gestellt werden
  • Funktionalität – WooCommerce-Extensions für Stripe arbeiten ausschließlich auf verschlüsselten Websites. Auch das Amazon-Pay-Plugin für benötigt SSL
  • Zukunftsfähigkeit – Prophezeiung: WordPress wird eines Tages nur noch auf HTTPS-Domains installiert werden können

An oberster Stelle steht das Thema Sicherheit. Ohne SSL-Zertifikat riskiert der WordPress-Admin ein Abfangen von Daten – zwischen dem Browser des Besuchers und dem Server.

Die Methode der Hacker: Sie klinken sich mit Man-in-the-Middle-Angriffen ein, um Daten mitzulesen, abzufangen und zu manipulieren. Begehrt sind Passwörter und Kontodaten, gefährdet sind Eingabefelder wie Kontakt- und Bestellformulare. Gelingt der Angriff auf einen Shop, dann hinterlässt der Kunde seine Daten nicht da, wo er glaubt, sondern bei den Hackern.

Die SSL-Zertifikatsklassen

Die Welt der SSL-Zertifikate herrscht eine Drei-Klassen-Gesellschaft:

  • 1. Klasse: Domain-Validierung
  • 2. Klasse: Unternehmens-Validierung
  • 3. Klasse: Erweiterte Validierung

Dabei gilt: Je höher die Klasse, desto aufwändiger die Prüfungen und desto teurer das Zertifikat

Klasse 1: Domainvalidiertes SSL-Zertifikat

lets-encrypt-zertifikat
SSL-Zertifikat der Klasse 1. Im Browser wird das grüne Schlösschen eingeblendet. Wer darauf klickt, erfährt einiges über das Zertifikat und die ausstellende CA (Zertifizierungsinstanz), aber wenig über den Betreiber der Website
  • Für die Ausstellung eines SSL-Zertifikats der Klasse 1 wird nur überprüft, ob der Antragsteller im Besitz der zugehörigen Domain ist.
  • Die Prozedur dauert für eine .de-Domain nur wenige Minuten. Dabei wird eine Anfrage an das Whois-Verzeichnis gestellt, das „Einwohnermeldeamt“ des Internets. Stimmen die dort hinterlegten Daten mit den Angaben des Antragsteller überein, wird das Zertifikat automatisch ausgestellt.

Tipp: Prüfen Sie vor der Antragstellung die eigenen Daten. Früher ging das für de-Domains über die Registrierungsstelle Denic. Doch dank DSGVO (Datenschutz) wurde die Denic-Abfrage eingestellt. Also heißt es jetzt, vor der Beantragung eines SSL-Zertifikats noch einmal die Angeben im Kundencenter des Providers zu prüfen.

SSL-Zertifikatsklasse 1 – typische Websites

Domainvalidierte SSL-Zertifikate sind kostenlos oder günstig zu haben und inzwschen Standards bei allen Websites, die mit Eingabeformularen arbeiten. Allerdings bieten diese SSL-Zertifikate bietet nur eine begrenzte Sicherheit. Betrüger können sich auf legalem Wege eine Tippfehler-Domain sichern und validieren. Landet das Opfer auf einer Fake-Site, dann täuscht die SSL-Verschlüsselung auch noch Seriösität vor. Der automatisierte Abgleich mit dem Whois-Verzeichnis macht es Betrügern einfach! Wer mehr Sicherheit möchte, greift zum Zertifikat der Klasse 2.

Klasse 2: Unternehmensvalidiertes SSL-Zertifikat

Zertifikat Klasse 2
SSL-Zertifikat der Klasse 2. In der Browserzeile ist nicht sofort zu erkennen, ob ein Zertifikat der 1. oder 2. Klasse vorliegt. Der Unterschied zeigt sich mit einem Klick auf das grüne Schlösschen. Beim unternehmensvalidierten SSL- Zertifikat werden der Unternehmensname und der Firmensitz angezeigt.
  • Für ein SSL-Zertifikat der 2. Klasse ist es notwendig, den Ausweis und andere Dokumente prüfen lassen, unter Umständen auch die  Bankverbindung.
  • Die Details der Prüfung hängen von der Zertifizierungsstelle ab. Falls Sie die Website eines eingetragenen Vereins oder eines im Handelsregister eingetragenen Unternehmens betreuen: Halten Sie einen aktuellen Auszug aus dem Vereins- oder Handelsregister bereit.

SSL-Zertifikatsklasse 2 – typische Websites

Ein Zertifikat der Klasse 2 ist gut geeignet für einen Webshop, und ebenso für Präsenzen von Unternehmen, Vereinen und Organisationen. Das Zertifikat schützt vor Identitätsdiebstahl und bietet eine für kleine und mittlere Webshops ausreichende Sicherheitsstufe.

Klasse 3: Erweiterte Validierung

Zertifikat Klasse 3
Zertifikat der Klasse 3.  Extended-Validation-Zertifikate werden im Browser deutlich hervorgehoben. Erkennungsmerkmal ist die grüne Adresszeile.
  • Zertifikate der Klasse 3 sind an der grünen Adresszeile zu erkennen. Hinter dem Schlösschen ist auch der Name der Website grün geschrieben.
  • Der Erhalt eines Zertifikates der Klasse 3 erfordert eine intensive Überprüfung. Verpflichtend, und nicht nur optional wie bei Klasse 2, ist die Eintragung eines Unternehmens oder Vereins in einem öffentlichen Register. Die Dokumente zum Antrag müssen unterzeichnet sein und bestätigt werden. Bis zum Erhalt des Zertifikats dauert es einige Tage.

SSL-Zertifikatsklasse 3 – typische Websites

Typische Anwender für diesen SSL-Zertifikate der Klasse 3 sind Banken, Behörden und große Onlineshops. Eine hundertprozentige Sicherheit garantiert zwar auch ein Zertifikat der Klasse 3 nicht, aber die Möglichkeiten für die SSL-Verschlüsselung sind damit maximal ausgeschöpft.

Kostenlose Zertifikate von Let’s Encrypt

Kostenloses Zertifikate, allerdings nur in der Klasse 1, stellt die Initiative Let’s Encrypt aus. Sie hat sich zum Ziel gesetzt, das gesamte Internet mittels kostenloser Zertifikate zu verschlüsseln.

Kostenlose Zertifikate erwerben

Kostenlose Zertifikate
Kostenlose Zertifikate

Am einfachsten werden kostenlose Zertifikate über den Provider erworben. Die gängigen Optionen:

  • Der Provider bietet die SSL-Verschlüsselung für einige Domains deines Hosting-Pakets an – weitere gegen Aufpreis
  • Der Provider bietet die SSL-Verschlüsselung für alle Domains deines Hosting-Pakets an

Diese Kosten kommen auf Sie zu:

  • Let’s -Encrypt-Zertifikate -Keine, falls kostenlose Zertifikate im Hostingpaket integriert sind – in diesem Fall handelt es sich zumeist um ein Zertifikat von Let’s Encrypt.
  • Andere Klasse-1-Zertifikate – Ca. 2-5 Euro pro Monat
  • Klasse 2-Zertifikate – ca. 10 Euro pro Monat
  • Klasse 3-Zertifikate – ca. 30 Euro pro Monat

Tipp für kosten- und sicherheitsbewusste Onlinehändler:

  • Erkundige Sie sich, ob Ihr Provider auch Zertifikate der Klasse 2 zulässt. Falls nicht, wechseln Sie den Provider
  • Erwerben Sie zunächst ein Zertifikat der Klasse 1. Ausnahme: Beim Dropshipping ist die Klasse 2 von Anfang an Pflicht
  • Mit dem Ausbau des Shops und der Erweiterung der Zahlungsmethoden wechseln Sie zu Klasse 2
  • Ein SSL-Zertifikat der Klasse 3 benötigen Sie für einen kleinen oder mittleren Shop in der Regel nicht.

Haben Sie bei der Zertifikatswahl auch die Minimierung deines unternehmerischen Risikos im Hinterkopf. Im Falle eines Datendiebstahls werden Forderungen nach Schadensersatz an Sie gestellt. Zur Abwehr ist es hilfreich, Sicherheitsmaßnahmen zu belegen – ein SSL-Zertifikat gehört dazu.