Digital
Best of watson

FreeSSL Hostpoint bringt gratis SSL-Zertifikate von Symantec

Schweizer Anbieter bringt erstmals kostenlose Internet-Verschlüsselung: «Wir machen das Internet sicherer»

Ab sofort erhalten Hostpoint-Kunden für ihre Webseite kostenlos ein SSL-Zertifikat. Der Datenverkehr über Webseiten wird damit wirkungsvoll verschlüsselt. Bis in einigen Jahren dürfte der gesamte Schweizer Webverkehr verschlüsselt stattfinden.
30.09.2015, 10:4530.09.2015, 22:49
Mehr «Digital»

Ob man im Internet einkauft, ein Hotelzimmer bucht oder schnell ein Ticket für das nächste Konzert bestellt, ständig geben wir unsere Daten in Webseiten ein: Passwort, Name, Adresse, Kreditkarten- und Telefonnummer und mehr. Das Problem: Standardmässig ist der Internetverkehr nicht verschlüsselt. Daher können auch heikle Daten relativ leicht mitgelesen werden: Sei es vom neugierigen Nachbar, Kriminellen oder Geheimdiensten. Als Internetnutzer muss man darauf hoffen, dass die Webseite für die Übertragung des Passwortes und der Kreditkartennummer eine sichere, sprich verschlüsselte Verbindung nutzt. Genau dies dürfte künftig in aller Regel der Fall sein. Warum?

Darum wird das Web sicherer

Der grösste Schweizer Webhosting-Anbieter Hostpoint bietet seinen Kunden ab sofort kostenlos ein SSL-Zertifikat von Symantec zur Verschlüsselung an. Im Klartext: Wer seine Webseite bei Hostpoint hat, kann seinen Besuchern eine verschlüsselte Verbindung zum Nulltarif anbieten. «Wir gehen davon aus, dass ein Grossteil der über 280'000 bei uns registrierten Internetadressen früher oder später mit SSL betrieben werden, zumal verschlüsselte Webseiten auch von Google leicht bevorzugt werden», sagt Hostpoint.

Banken oder auch die Post nutzen für die Übermittlung von Kunden-Passwörtern längst sichere SSL-Verbindungen, was am zusätzlichen «s» für Secure in der Internetadresse «https://www.post.ch» ersichtlich ist. Doch wie sieht es bei den Online-Shops aus? 

«Man darf davon ausgehen, dass in der Schweiz betriebene Onlineshops in der Regel SSL einsetzen, insbesondere für die Zahlungsabwicklung», sagt Daniel Roethlisberger von der Stiftung Switch, der Registrierungsstelle für «.ch»-Internetadressen. Über genaue Statistiken verfüge man nicht. Zu beobachten sei, «dass nicht mehr nur Banken und Webshops SSL einsetzen, sondern je länger desto mehr auch normale Webseiten», so der IT-Sicherheitsexperte. Die Hoffnung scheint berechtigt, dass mit den neuen Gratis-Zertifikaten künftig auch viele kleinere Webseiten verschlüsselt kommunizieren.

Verschlüsselt, aber ...

«Wir machen das Schweizer Internet mit Gratis-SSL-Zertifikaten sicherer», heisst es bei Hostpoint. Das stimmt, allerdings gibt es bei den Zertifikaten unterschiedliche Sicherheitsstufen: Der Schweizer Webhosting-Anbieter verschenkt seinen Kunden lediglich domaingeprüfte Zertifikate mit der geringsten Sicherheitsstufe. Die gute Nachricht: Die Verschlüsselung ist in der Regel genau so stark wie bei teureren Zertifikaten. Passwörter, Kreditkartendaten etc. werden also beispielsweise beim Online-Einkauf sicher durchs Internet übertragen. Die schlechte Nachricht: Bei domaingeprüften Zertifikaten wird die Identität des Webseitenbesitzers von der Zertifizierungsstelle nicht geprüft. Theoretisch kommt also jedermann mit einer (anonymen) E-Mail-Adresse an ein solches SSL-Zertifikat (siehe Infobox am Ende des Artikels). Hostpoint sagt, man überprüfe deshalb die Identität der Webseitenbetreiber: «Da nur unsere eigenen Kunden FreeSSL-Zertifikate aktivieren können, wissen wir, wer hinter der Domain steckt und können darum Missbrauch unterbinden.»

So erkennt man sichere Webseiten

Sichere Webseiten verschlüsseln Informationen (E-Mails, Passwörter, Kreditkartennummern etc.), bevor sie sie an andere Computer verschicken. Für Kriminelle sind die übertragenen Daten so wertlos. Doch wie erkennt man sichere Webseiten? 

Sichere Webseiten beginnen ihre Adresse mit https (das zusätzliche «s» steht für secure). Verschlüsselte Verbindungen sind auch am Schloss-Symbol im Browser zu erkennen.
Sichere Webseiten beginnen ihre Adresse mit https (das zusätzliche «s» steht für secure). Verschlüsselte Verbindungen sind auch am Schloss-Symbol im Browser zu erkennen.

Webseiten mit «https» und Schloss-Symbol sind zwar verschlüsselt, dies ist indes keine Garantie, dass hinter einer (allenfalls gefälschten) Webseite nicht doch Kriminelle lauern, die es auf Passwörter oder Kreditkartennummern abgesehen haben. Deshalb gibt es ein drittes wichtiges Sicherheitsmerkmal: Mit dem Firmenname in grüner Farbe in der Browser-Adressleiste signalisiert die Firma ihren Webseitenbesuchern auf den ersten Blick Seriosität. 

Die höchste Sicherheitsstufe bieten nur erweitert überprüfte SSL-Zertifikate: Moderne Webbrowser zeigen den Firmennamen der Webseite grün hinterlegt in der Adresszeile an, sofern die Identität des Web ...
Die höchste Sicherheitsstufe bieten nur erweitert überprüfte SSL-Zertifikate: Moderne Webbrowser zeigen den Firmennamen der Webseite grün hinterlegt in der Adresszeile an, sofern die Identität des Webseitenbesitzers zuvor von einer unabhängigen Stelle überprüft werden konnte.

Vertrauenswürdig, sprich garantiert nicht gefälscht, ist eine Webseite erst, wenn die Adresszeile grün hinterlegt ist und den entsprechenden Firmennahmen anzeigt. Internetnutzer sollen so schneller erkennen, ob die besuchte Website echt ist und sich so vor Phishingversuchen schützen können. Grün hinterlegte Adressen findet man typischerweise beim E-Banking oder auch bei Google und Facebook.

Sichere Webseiten in 3 Minuten im Video erklärt

SSL-Zertifikate mit der höchsten Sicherheitsstufe sind Unternehmen vorbehalten. Webshops, Webmail-Dienste und Firmen, die auf das Kundenvertrauen angewiesen sind, sollten nur strenger geprüfte Zertifikate verwenden, die mehrere hundert Franken pro Jahr kosten können. So wird nicht nur die Übermittlung vertraulicher Daten verschlüsselt, sondern gleichzeitig die Identität des Webseitenbetreibers bestätigt.

Wenn SSL-Zertifikate so wichtig sind, warum machen die Webhosting-Provider das Web erst jetzt sicher?

Es geht wie so oft im Leben ums Geld. Viel Geld. Mit der Vergabe von SSL-Zertifikaten, die jährlich verlängert und neu bezahlt werden müssen, verdienen Zertifikate-Herausgeber wie Symantec gutes Geld. Nun bekommen sie Konkurrenz durch die im Aufbau befindliche Zertifizierungsstelle Let’s Encrypt (zu Deutsch: «Lasst uns verschlüsseln!»). Let’s Encrypt wird Ende 2015 in Betrieb gehen und kostenlose domaingeprüfte SSL-Zertifikate anbieten – die selben Zertifikate, die Hostpoint nun gratis offeriert. Der nahende Markteintritt von Let’s Encrypt bringt also bereits Bewegung in den Zertifikate-Markt.

Let’s Encrypt verspricht eine raschere, automatisierte Abwicklung bei der Zertifikatvergabe. Ob der neue SSL-Anbieter zuverlässig ist, muss sich erst noch zeigen. Webseitenbetreiber können auf jeden Fall hoffen, dass andere Zertifikate- und Webhosting-Anbieter ihre Preise bald senken werden. In der Schweiz hat Hostpoint die Preise für die erweitert überprüften Zertifikate bereits gesenkt. Davon profitieren werden schlussendlich alle, die im Web surfen. «Wir rechnen damit, dass in ein paar Jahren praktisch sämtlicher Webverkehr verschlüsselt stattfinden wird», glaubt Roethlisberger von Switch.

SSL-Zertifikate haben zwei Funktionen: Erstens verschlüsseln sie die auf Webseiten eingegebenen Daten auf dem Weg durchs Netz. Zweitens stellen sie sicher, dass sich hinter der Webseite, etwa ein Online-Shop, tatsächlich die Person oder Firma befindet, die als Besitzerin ausgewiesen wird. Allerdings gibt es Unterschiede:

Domain Validation: Diese Zertifikate, die nun von Hostpoint gratis angeboten werden, sind relativ günstig und weit verbreitet. Der Webseitenbesitzer muss lediglich eine automatisierte E-Mail beantworten, um die Bestellung des SSL-Zertifikats zu bestätigen. Das Zertifikat garantiert eine verschlüsselte Datenübertragung, sagt aber nichts über die Authentizität des Webseitenbetreibers aus. Die Webseite könnte folglich gefälscht sein. Das Zertifikat eignet sich für kleine Webseiten, Foren, Blogs oder Intranet.

Organisation Validation: Bei diesen Zertifikaten wird zusätzlich zum Domaincheck eine Identitätsprüfung vorgenommen. Ein Unternehmen muss entsprechende Dokumente (Handelsregisterauszug) nachweisen, die es als Inhaber der Domain bestätigen. Das Zertifikat eignet sich zum Beispiel für Unternehmensseiten.

Extended Validation: Vertrauenswürdig ist eine Webseite erst, wenn eine Zertifizierungsstelle einen Domaincheck und eine genaue Identitätsprüfung vorgenommen hat. Ist dies der Fall, ist die Adresszeile im Browser grün hinterlegt und zeigt den entsprechenden Firmennamen an. Das Zertifikat eignet sich für Banken und Webshops.

Weiterführende Informationen zu SSL-Zertifikaten finden sich hier.
Digital
AbonnierenAbonnieren

Hol dir jetzt die beste News-App der Schweiz!

  • watson: 4,5 von 5 Sternchen im App-Store ☺
  • Tages-Anzeiger: 3,5 von 5 Sternchen
  • Blick: 3 von 5 Sternchen
  • 20 Minuten: 3 von 5 Sternchen

Du willst nur das Beste? Voilà:

DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet, um die Zahlung abzuschliessen.)
5 CHF
15 CHF
25 CHF
Anderer
twint icon
Oder unterstütze uns per Banküberweisung.
Das könnte dich auch noch interessieren:
9 Kommentare
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
9
KI- und Roboterentwickler spannen zusammen – die Ergebnisse sind jetzt schon 🤯

Ein Video versetzt die Tech-Welt gerade in helle Aufregung. Der Protagonist: «Figure 01», ein humanoider Roboter, entstanden aus der Kooperation zwischen einem führenden KI-Entwickler und einem aufstrebenden Robotik-Startup.
Schau selbst, was er kann:

Zur Story