In der Vergangenheit hat die Anzahl an Organisationen, die ein SSL-Zertifikat (genauer gesagt TLS-Zertifikat) einsetzen, drastisch zugenommen. Das hat unter anderem mit der Veröffentlichung der DSGVO vom 25.05.2018 zu tun, die Webseitenbetreiber verpflichtet ein SSL-Zertifikat einzusetzen, wenn personenbezogene Daten auf der Webseite ausgetauscht werden. Es gibt aber auch andere Gründe, die den Einsatz eines SSL-Zertifikats erforderlich machen können. So schützt ein SSL-Zertifikat die Kommunikation zwischen zweier Parteien vor dem Ausspionieren durch unbekannte Dritte und es lässt sich sicherstellen, dass man der Partei vertrauen kann mit der man kommuniziert.
Bevor Sie ein SSL-Zertifikat bestellen, sollten Sie jedoch prüfen, welchen Zertifikatstyp Sie benötigen. Es gibt unterschiedliche Typen, die für unterschiedliche Zwecke zum Einsatz kommen:
Ähnlich wie bei einer Bank, die einen Kredit vergibt, muss auch die Zertifizierungsstelle (CA) eine Validierung durchführen bevor sie ein SSL-Zertifikat ausstellt. Es muss nachgewiesen werden, dass der Antragssteller die Domain auch wirklich besitz und betreibt. Alle 3 Validierungsstufen bieten das gleiche Verschlüsselungslevel, jedoch unterscheiden sie sich beim Validierungsprozess und im Vetting. Die Validierung eines SSL-Zertifikats wird in 3 Arten unterteilt:
Bei einem domainvalidierten Zertifikat wird, wie der Name schon sagt, nur die Domaininhaberschaft überprüft. Es soll sichergestellt werden, dass der Antragssteller auch tatsächlich die Kontrolle über die Domain hat, für die er ein Zertifikat anfordert. Diese Validierungsstufe erfordert keine Prüfung der Organisation. Es müssen keine Unterlagen über die antragsstellende Organisation vorbereitet und an die Zertifizierungsstelle gesendet werden. Hierfür beinhaltet das Zertifikat später aber auch keinen Hinweis auf die antragsstellende Organisation.
Da keine weitere Validierung erforderlich ist, haben domainvalidierte Zertifikate einen niedrigeren Preis. Domainvalidierte Zertifikate sind eine gute Option für Blogs, Informationswebseiten oder kleinere Unternehmen, die keine Produkte über die Webseite verkaufen (z.B. Restaurants oder Cafés).
Die Validierung eines domainvalidierten Zertifikats kann über 3 unterschiedliche Methoden erfolgen:
Bei organisationsvalidierten Zertifikaten wird neben der Domainvalidierung auch noch eine Überprüfung der Organisation durchgeführt, für die das Zertifikat ausgestellt werden soll. Diese Validierungsstufe beinhaltet eine manuellen Überprüfungsprozess, bei dem unter anderem die Adressdaten validiert werden. Der Verlauf der Prüfung ist vom Einzelfall abhängig. In der Regel erfolgt eine Überprüfung der Daten der Organisation anhand eines Abgleichs mit den Informationen in einem öffentlichen Register (z.B. Handelsregister). Es kann aber auch vorkommen, dass noch zusätzliche Unterlagen angefordert werden sowie eine Überprüfung der Rufnummer der Organisation durchgeführt wird.
Durch diese Überprüfungen wird sichergestellt, dass die angegebenen Informationen der antragsstellenden Organisation korrekt sind. Dies hat aber auch seinen Preis, denn organisationsvalidierte Zertifikate sind teurer als domainvalidierte Zertifikate. Allerdings haben derartige Zertifikate wiederum auch eine höhere Schutzwirkung, da sie den Namen und die Adresse der Organisation beinhalten, was die Webseite für Besucher vertrauenswürdiger macht.
Eine besondere Form der Validierungsarten stellen Extended Validation Zertifikate dar. In frühreren Browser-Versionen wurden diese Zertifikate mit einer grünen Adressleiste im Browser angezeigt. Dies ist mit neueren Versionen allerdings nicht mehr der Fall. Bei dieser Validierungsart wird von der Zertifizierungsstelle neben der Domainvalidierung ein vollständiger Backgroundcheck der antragsstellenden Organisation durchgeführt. Sie stellt sicher, dass die Organisation existiert und legal als Unternehmen registriert ist. Des Weiteren stellt sie sicher, dass die Organisation sich auch tatsächlich an der angegebenen Adresse befindet.
Im Allgemeinen ist die Validierung eines EV-Zertifikats wesentlich aufwändiger als bei den anderen beiden Zertifikatsarten, was sich auch im Preis niederschlägt. Dafür besitzt das Zertifikat die höchste Vertrauensstufe. EV-Zertifikate sind besonders für größere Unternehmen, Finanzinstitute, E-Commerce-Shops oder Webseiten und Anwendungen gedacht, die vertrauliche Kundendaten wie Kennwörter, Kreditkartendaten oder personenbezogen Daten verarbeiten.