Tips und Tricks

Für die optimale Nutzung eines SSL-Zertifikats ist mehr erforderlich als der Kauf eines Zertifikats und dessen Installation. Es passiert oft, dass die Installation nicht korrekt durchgeführt wird und die Servereinstellungen nicht optimal sind. Dies führt dazu, dass eine Website anfällig bleibt und somit die Daten ausgetauscht werden können. Hier sind einige Tipps, die die Verwendung von SSL wesentlich sicherer machen.

Der privater Schlüssel

Der private Schlüssel ist nur dem Besitzer des Zertifikats bekannt. In falschen Händen kann es zu Missbrauch kommen - um Datenverkehr zu entschlüsseln und zu überwachen. Stellen Sie sicher, dass der private Schlüssel an einem sicheren Ort aufbewahrt wird, sichern Sie die Datei mit einem Passwort, erstellen Sie eine Sicherungskopie und aktualisieren Sie den privaten Schlüssel (und damit das Zertifikat) regelmäßig.

Überprüfen Sie die Installation des Zertifikats

Mit unserem SSLCheck können Sie prüfen:

  • Wenn das Zertifikat und die Stamm- und Zwischenzertifikat korrekt installiert sind. Diese Stammzertifikate stellen sicher, dass das Zertifikat von Browsern und Anwendungen als vertrauenswürdig eingestuft wird.
  • Die Eigenschaften des Zertifikats. Der aktuelle Standard verwendet ein Minimum von 2048-Bit RSA oder wenn Besucher moderne Browser verwenden, ECC. Der Algorithmus für die Signatur muss SHA-2 sein. Erfüllt ein Zertifikat diese Anforderungen nicht? Eine kostenlose Neuausstellung Ihres Zertifikats löst das Problem.

Protokolle

Stellen Sie sicher, daß der Server die neuesten Versionen des TLS-Protokolls unterstützt. Die Protokolle, von denen sich der Name der SSL-Zertifikate ableitet, SSL Version 1, 2 und 3 sind mittlerweile unsicher, ebenso die TLS-Versionen 1.0 und 1.1. Deaktivieren Sie daher diese Protokolle in Ihrer Serverkonfiguration, so daß nur noch die neueren TLS-Protokolle 1.2 und 1.3 verwendet werden und Angriffe wie Poodle nicht mehr auftreten können.

Cipher Suites

Das SSL/TLS-Protokoll verfügt über mehrere Cipher Suites (Verschlüsselungssammlungen), um eine verschlüsselte Verbindung einzurichten. Eine Cipher Suite bestimmt, wie der Verkehr zwischen einem Server und einem Client verschlüsselt und verarbeitet wird. Eine Anzahl dieser Cipher Suites wurde nun als schwach und unsicher befunden. Es ist daher wichtig, diese unsicheren Cipher Suites auf Ihrem Server zu deaktivieren.

Perfect Forward Secrecy

Zusätzlich zu den Protokollen können Sie auswählen, welche Algorithmen für die Kommunikation mit dem Browser verwendet werden sollen. Eines der Dinge, die von einem guten Algorithmus unterstützt werden, ist Perfect Forward Secrecy (PFS). PFS stellt sicher, dass der temporäre Sitzungsschlüssel, der für die Kommunikation zwischen dem Browser und dem Server erstellt wird, zu einem späteren Zeitpunkt nicht mit dem privaten Schlüssel entschlüsselt werden kann. Dies bedeutet, dass der gesamte Datenverkehr, den jemand jetzt erfassen würde, in Zukunft nicht mehr entschlüsselt werden kann, wenn jemand Zugriff auf den verwendeten privaten Schlüssel erhält.

Sichern Sie die gesamte Site mit SSL

Stellen Sie sicher, dass die gesamte Website mit SSL gesichert ist und nicht nur die Seiten, auf denen Kunden Daten hinterlassen. Dadurch wird sichergestellt, dass beim Wechseln von ungesicherten zu gesicherten Seiten innerhalb der Website keine Daten abgefangen werden können. Außerdem unterdrückt es die Browserwarnungen bei Mixed-Content. Google ermutigt zur Verwendung von SSL auf der gesamten Website, indem es diese mit einem möglicherweise höheren Ranking belohnt. Seien Sie vorsichtig beim Ändern der Konfiguration, um sicherzustellen, dass die Änderung nicht zu Lasten der Auffindbarkeit und Leistung der Website geht.

OCSP Stapling

Um den Status eines Zertifikats zu überprüfen und um festzustellen, ob es widerrufen wurde, verwenden Browser die OCSP- und CRL-Daten der Zertifizierungsstelle. Diese Statusinformation kann auch von Ihrem eigenen Webserver übertragen werden. Dieses sogenannte OCSP-Stapling funktioniert, indem Ihr eigener Webserver die OCSP-Server der Zertifizierungsstelle kontaktiert und diese Informationen zwischenspeichert. Der Webserver überträgt dann diese zwischengespeicherte Antwort beim Besuch der Website an den Client und macht es daher für den Client unnötig, diese Information in einer zweiten Verbindung von der Zertifizierungsstelle zu erhalten, wodurch die Antwort insgesamt schneller wird.

Public Key pinning

Mithilfe von Public Key Pinning (HPKP) geben Sie das Zertifikat oder CA-Zertifikat an, das mit einer Website verwendet werden soll. Auf diese Weise kann der Eigentümer einer Website angeben, welches Zertifikat für diese Website vertrauenswürdig ist oder welche Zertifizierungsstelle das verwendete Zertifikat ausgestellt haben sollte. Dies reduziert das Risiko von Man-in-the-Middle-Angriffen erheblich.

Sichere Verbindungen erzwingen

Ein Schritt weiter als die gesamte Website über HTTPS verfügbar zu machen, ist die erzwungene Verwendung von HTTPS. Um dies zu erreichen, stehen mehrere Methoden zur Verfügung, z.B. die Umleitung des Besuchers von der HTTP-Version auf die HTTPS-Version. Um zu verhindern, dass ein Besucher auf eine ungesicherte Seite weitergeleitet wird, können Sie die HTTP Strict Transport Security-Funktion auf dem Webserver aktivieren. Wenn ein Besucher Ihre gesicherte Website besucht hat, empfängt er den HTTP Strict Transport Security-Header im Browser und merkt sich daher, dass die Website nur über SSL zugänglich ist.

Einfache SSL-Konfiguration

Mozilla bietet einen einfach zu bedienenden SSL-Konfigurationsgenerator, mit dem Sie die perfekten Einstellungen für Ihren spezifischen Server und Anwendungsfall vornehmen können, wie TLS-Version, Ciphers, Aktivierung von OCSP Stapling und HTTP Strict Transport Security, alles durch einfaches Anklicken einiger Optionen und Eingabe Ihres Servers und der OpenSSL-Version.

Überprüfen Sie das Ergebnis

Unter https://www.ssllabs.com/ssltest/ können Sie überprüfen, ob die SSL-Verbindungskonfiguration sicher genug ist. Das Ziel ist mindestens eine A-Bewertung zu erhalten.

Haben Sie noch kein SSL-Zertifikat? Bestellen Sie Ihr Zertifikat online.

Zertifikat anfordern

SSLCheck

SSLCheck überprüft, ob Ihr Zertifikat ordnungsgemäß auf Ihrem Server installiert ist und ob es potenzielle Probleme gibt.

point up