SSL-Zertifikate verschlüsseln die Verbindung zwischen Browser und Server. Es gibt verschiedene Arten mit unterschiedlichen Validierungsstufen und Preisen.

Was ist ein SSL-Zertifikat?

Ein SSL/TLS-Zertifikat:

  • Verschlüsselt Datenübertragung
  • Bestätigt Identität der Website
  • Zeigt das Schloss-Symbol im Browser
  • Ist Voraussetzung für HTTPS

Validierungsstufen

Domain Validation (DV)

Prüfung: Nur Domain-Kontrolle

Merkmale:

  • Schnellste Ausstellung (Minuten)
  • Günstigste Option
  • Nur Verschlüsselung, keine Identitätsprüfung
  • Schloss-Symbol im Browser

Geeignet für:

  • Blogs
  • Private Websites
  • Kleine Projekte
  • Entwicklungsumgebungen

Beispiele:

  • Let's Encrypt (kostenlos)
  • DigiCert Basic
  • Sectigo Essential

Organization Validation (OV)

Prüfung: Domain + Unternehmen

Merkmale:

  • Ausstellung in 1-3 Tagen
  • Unternehmensname im Zertifikat
  • Prüfung der Organisation
  • Mittlere Preiskategorie

Geeignet für:

  • Unternehmenswebsites
  • Intranets
  • Mittelständische Unternehmen

Beispiele:

  • DigiCert Standard
  • Sectigo OV

Extended Validation (EV)

Prüfung: Umfassende Identitätsprüfung

Merkmale:

  • Ausstellung in 1-2 Wochen
  • Strenge Überprüfung
  • Höchste Vertrauensstufe
  • Teuerste Option

Geeignet für:

  • Banken
  • Online-Shops
  • Große Unternehmen
  • Regierungsseiten

Hinweis: Der grüne Balken mit Firmennamen wurde von Browsern entfernt. EV-Zertifikate zeigen nur noch das normale Schloss.

Vergleichstabelle

| Merkmal | DV | OV | EV | |---------|----|----|-----| | Validierung | Domain | Domain + Firma | Umfassend | | Ausstellung | Minuten | 1-3 Tage | 1-2 Wochen | | Preis/Jahr | 0-50€ | 50-200€ | 200-500€ | | Vertrauen | Basis | Mittel | Hoch | | Firmenname | Nein | Im Zertifikat | Im Zertifikat |

Zertifikats-Typen

Single-Domain

Schützt eine Domain:

  • example.com ODER www.example.com
  • Günstigste Option für eine Site

Wildcard

Schützt Domain und alle Subdomains:

  • *.example.com
  • blog.example.com, shop.example.com, etc.
  • Ausgenommen: sub.sub.example.com

Multi-Domain (SAN/UCC)

Schützt mehrere verschiedene Domains:

  • example.com
  • example.de
  • andere-domain.net

Multi-Domain Wildcard

Kombination aus beidem:

  • *.example.com
  • *.example.de

Kostenlose Zertifikate

Let's Encrypt

  • Vollständig kostenlos
  • Domain Validation
  • 90 Tage Gültigkeit
  • Automatische Erneuerung
  • Wildcard möglich
certbot --nginx -d example.com -d www.example.com

ZeroSSL

  • Kostenloser Plan verfügbar
  • ACME-kompatibel
  • Alternative zu Let's Encrypt

Cloudflare

  • Kostenlos bei Nutzung von Cloudflare
  • Universal SSL
  • Edge-Zertifikate

Bezahlte Zertifikate

Wann sinnvoll?

  • EV oder OV gewünscht
  • Längere Gültigkeit (1-2 Jahre)
  • Warranty (Versicherung)
  • Support benötigt

Bekannte Anbieter

| Anbieter | Typ | Preis ab | |----------|-----|----------| | DigiCert | Premium | 200€/Jahr | | Sectigo | Alle Stufen | 10€/Jahr | | GlobalSign | Enterprise | 150€/Jahr | | Thawte | Alle Stufen | 50€/Jahr |

Technische Details

Schlüssellänge

  • RSA: Mindestens 2048 Bit
  • ECC: 256 Bit (kleiner, schneller)

Hash-Algorithmus

  • SHA-256 (Standard)
  • SHA-1 ist veraltet (nicht verwenden)

TLS-Version

  • TLS 1.3 (aktuell, empfohlen)
  • TLS 1.2 (noch akzeptabel)
  • TLS 1.0/1.1 (abschalten!)

Zertifikat prüfen

Im Browser

Auf Schloss klicken → Zertifikat anzeigen

Per Kommandozeile

openssl s_client -connect example.com:443 -servername example.com | openssl x509 -text

Online-Tools

  • ssllabs.com/ssltest
  • sslshopper.com/ssl-checker

Zertifikats-Kette

Ein Zertifikat enthält:

1. Server-Zertifikat: Ihr Zertifikat 2. Intermediate: Zwischen-Zertifikat(e) 3. Root: Stammzertifikat (im Browser hinterlegt)

Kette prüfen

openssl verify -CAfile chain.pem certificate.pem

Kette zusammenstellen

cat certificate.crt intermediate.crt > fullchain.crt

Häufige Probleme

"Certificate not trusted"

  • Intermediate-Zertifikat fehlt
  • Lösung: fullchain.pem verwenden

"Certificate expired"

  • Zertifikat abgelaufen
  • Lösung: Erneuern, Automatisierung einrichten

"Name mismatch"

  • Domain im Zertifikat stimmt nicht
  • Lösung: Richtiges Zertifikat für Domain

"Mixed content"

  • HTTP-Ressourcen auf HTTPS-Seite
  • Lösung: Alle URLs auf HTTPS umstellen

Best Practices

1. Let's Encrypt für DV

Kostenlos und ausreichend für die meisten Websites.

2. Automatische Erneuerung

certbot renew --dry-run

3. HSTS aktivieren

add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;

4. Alte TLS-Versionen deaktivieren

ssl_protocols TLSv1.2 TLSv1.3;

5. Regelmäßig prüfen

SSL Labs Test mindestens jährlich.

Brauche ich ein EV-Zertifikat?

Wahrscheinlich nicht, weil:

  • Browser zeigen keinen grünen Balken mehr
  • Benutzer bemerken den Unterschied kaum
  • Let's Encrypt bietet gleiche Verschlüsselung

Möglicherweise ja, für:

  • Compliance-Anforderungen
  • Regulierte Branchen (Banken)
  • Unternehmensrichtlinien
  • Höhere Warranty

Fazit

Für die meisten Websites ist Let's Encrypt die beste Wahl. Die Verschlüsselung ist identisch, und die automatische Erneuerung spart Zeit. EV- oder OV-Zertifikate sind nur für spezielle Anforderungen sinnvoll - der sichtbare Unterschied für Benutzer ist minimal.