Noch heute mit Shopify verkaufen

Teste Shopify noch heute kostenlos und nutze diese Ressourcen, die dich Schritt für Schritt auf dem Weg zu deinem Ziel begleiten.

Kostenlos testen
blog|Onlineshop starten

Was ist ein SSL-Zertifikat? Definition und Bedeutung

Erfahre, was ein SSL-Zertifikat ist und wie es funktioniert, um deine Website zu sichern.

von
Veröffentlicht am
Illustration eines Computerbildschirmes mit einer URL und einem Mauszeiger darauf, um die Bedeutung eines SSL-Zertifikats zu versinnbildlichen

In den Anfängen des Internets wurden alle Website-Anfragen und -Antworten im Klartext übertragen. Das bedeutete, dass sie potenziell von Dritten eingesehen werden konnten, was die Übertragung von Anmeldedaten, Kreditkartennummern und anderen sensiblen persönlichen Informationen riskant machte.

Mitte der 1990er Jahre entwickelte Netscape ein Sicherheitsprotokoll zur Verschlüsselung vertraulicher Informationen für die Übermittlung und Übertragung von Webinhalten. Dieses Protokoll wurde SSL (Secure Sockets Layer) genannt und später zu einem weiteren Protokoll namens TLS (Transport Layer Security) weiterentwickelt.

SSL und TLS unterscheiden sich zwar in Bezug auf ihre Fähigkeiten und ihren Aufbau, bieten aber beide Sicherheit durch den Einsatz einer digitalen Technologie namens SSL-Zertifikat.

Was ist ein SSL-Zertifikat?

Ein SSL-Zertifikat bestätigt die Identität einer Website und verschlüsselt die Verbindung zum Browser. Es schützt Daten vor unbefugtem Zugriff und macht Online-Kommunikation sicher, indem es als digitaler Ausweis und Verschlüsselungsschlüssel dient.

Was ist eine SSL-Zertifizierungsstelle?

SSL-Zertifikate werden von sogenannten Zertifizierungsstellen (CA) ausgestellt – vertrauenswürdigen Organisationen, die die Identität von Websites prüfen. Weltweit gibt es über 100 Zertifizierungsstellen, die streng kontrolliert werden.

Vor der Ausstellung überprüft die CA Angaben wie Eigentumsverhältnisse, Namen und Standorte der Antragsteller:innen gemäß Branchenstandards. Anschließend signiert sie das Zertifikat digital mit ihrem privaten Schlüssel. Für diesen Service fällt meist eine Jahresgebühr an, auch wenn manche Web-Hoster oder gemeinnützige Zertifizierungsstellen kostenlose Zertifikate anbieten.

Ein SSL-Zertifikat ist eine kleine Datei, die auf einem TLS-fähigen Server installiert wird. Sie enthält:

  • Den Domainnamen der Website
  • Die Organisation (Zertifikatsinhaber:in)
  • Den Namen der Zertifizierungsstelle
  • Deren digitale Signatur
  • Alle zugehörigen Subdomains
  • Ausstellungs- und Ablaufdatum
  • Den öffentlichen Schlüssel (der private bleibt geheim)

Wenn du eine Website mit „HTTPS“ besuchst oder ein Vorhängeschloss in der Browserleiste siehst, nutzt du eine durch ein SSL-Zertifikat gesicherte TLS-Verbindung. Ein Klick auf das Symbol zeigt Details zur Verbindung und zum Zertifikat.

Das Vorhängeschloss zeigt eine sichere Verbindung – nicht unbedingt eine vertrauenswürdige Website. Auch Seiten mit SSL-Zertifikat können von Kriminellen betrieben werden.

Wie funktionieren SSL-Zertifikate?

Ein SSL-Zertifikat verwendet Verschlüsselungsalgorithmen, um Daten während der Übertragung zu verschlüsseln. Dadurch wird sichergestellt, dass alle Daten, die zwischen einem Browser und einer Website übertragen werden, für Dritte nicht lesbar sind.

Die sichere Kommunikation über TLS beruht auf zwei Zertifikaten – einem öffentlichen und einem privaten – um eine sichere Verbindung herzustellen.

Wenn ein Browser versucht, eine Verbindung zu einer mit TLS gesicherten Website herzustellen, wird diese Kommunikation durch einen sogenannten "Handshake" aufgebaut, der nur wenige Millisekunden dauert. Die Schritte in diesem Handshake sind:

  1. Der Client (Browser) verbindet sich mit der SSL-gesicherten Website (Server).
  2. Der Client fordert den Server auf, sich zu identifizieren.
  3. Der Server sendet eine Kopie seines SSL-Zertifikats.
  4. Der Client prüft das SSL-Zertifikat auf seine Vertrauenswürdigkeit und signalisiert dem Server, wenn es gültig ist.
  5. Der Server initiiert eine digital signierte Vereinbarung, um eine SSL-verschlüsselte Sitzung zu starten.
  6. Verschlüsselte Daten fließen jetzt frei und sicher zwischen dem Browser und dem Server.

Die erste Kommunikation verwendet eine asymmetrische Verschlüsselung, die auf öffentlichen und privaten Schlüsseln basiert. Nach der Validierung tauschen der Client und der Server temporäre private Schlüssel aus, die nur für die Sitzung verwendet werden. Dies ermöglicht eine effizientere Verschlüsselung und Entschlüsselung.

Arten von SSL-Zertifikaten

Um das Beste aus SSL herauszuholen, musst du das richtige SSL-Zertifikat wählen. Verschiedene SSL-Zertifikate dienen unterschiedlichen Zwecken und haben unterschiedliche Kosten, die du berücksichtigen musst:

Domain Validated (DV-SSL) Zertifikat

Kosten: 0 € - 200 € pro Jahr

Ein DV-SSL-Zertifikat beinhaltet eine minimale, automatisierte Identitätsüberprüfung, die nur feststellt, dass Inhaber:innen die Kontrolle über die Domain oder Subdomain haben. Dies geschieht in der Regel per E-Mail.

Ein DV-SSL-Zertifikat ist die günstigste Art, ein Zertifikat zu erhalten. Die meisten kostenlosen SSL-Zertifikate sind von diesem Typ. Es stellt jedoch den niedrigsten Standard der Website-Sicherheit dar. DV-Zertifikate sind nützlich für Blogs, einzelne Websites, kleine Unternehmen oder jede Website mit den einfachsten Sicherheitsanforderungen.

Organization Validated (OV-SSL) Zertifikat

Kosten: 100 € - 400 € pro Jahr

Ein OV-SSL-Zertifikat bietet eine stärkere Garantie für die Identität der Inhaber:innen. Um ein OV-Zertifikat zu erhalten, müssen die Käufer:innen neun Validierungsprüfungen bestehen.

Dies ist ein mittleres Unternehmenszertifikat, bei dem die ausstellende Zertifizierungsstelle garantiert, dass die Organisation, die mit dem Zertifikat verbunden ist, gültig ist und einen guten Ruf hat. Dies ist ein guter Ansatz für Unternehmen, die keine Finanz- oder E-Commerce-Transaktionen über ihre Website durchführen.

Extended Validation (EV-SSL) Zertifikat

Kosten: 400 € + pro Jahr

Ein EV-SSL-Zertifikat stellt die höchste Stufe der Identitätsprüfung dar und eignet sich daher am besten für Unternehmen, Finanzunternehmen und E-Commerce-Websites. Sechzehn Validierungsprüfungen werden durchgeführt, einschließlich der rechtlichen Identität und des Standorts.

Die Endnutzer:innen sehen eine grüne Browserleiste, die die höchste Verifizierungsstufe anzeigt, sowie zusätzliche Unternehmensinformationen hinter dem Vorhängeschloss.

Der Unterschied zwischen HTTP und HTTPS

HTTP steht für Hypertext Transfer Protocol. Es sendet Informationen zwischen einer Website und ihren Besucher:innen im Klartext, den jede Person abfangen und lesen kann. Stell dir das so vor, als würdest du eine Postkarte mit der Post verschicken. Jeder, der die Postkarte in die Hand nimmt, wie z. B. Postbot:innen oder die Mitarbeitenden der Sortieranlage, können lesen, was auf der Karte steht.

HTTPS steht für Hypertext Transfer Protocol Secure. Es verwendet SSL/TLS-Zertifikate, um verschlüsselte Verbindungen herzustellen. Alle übertragenen Daten – wie beispielsweise Kreditkartennummern oder Passwörter – werden in einen komplexen Code verschlüsselt, den nur deine Website und der Browser der Besucher:innen entschlüsseln können. Stell dir das so vor, als würdest du wieder eine Postkarte verschicken, diesmal aber in einem verschlossenen Aktenkoffer, zu dem nur du und die Empfänger:innen den Schlüssel haben.

HTTPS ist inzwischen zum Standard geworden. Moderne Browser zeigen ein Vorhängeschloss-Symbol für HTTPS-Websites an und geben den Besucher:innen die Gewissheit, dass deine Website seriös und sicher ist. HTTP-Websites werden als "nicht sicher" gekennzeichnet, was potenzielle Kund:innen sofort abschrecken kann.

Was du tun kannst, wenn dein SSL-Zertifikat kompromittiert wurde

Ein kompromittiertes SSL-Zertifikat ist wie ein gestohlener Hausschlüssel – du musst sofort handeln:

  • Widerrufe das Zertifikat über die CA und deaktiviere die Website bei Verdacht auf Angriffe.
  • Untersuche den Vorfall, analysiere Protokolle und prüfe auf unbefugten Zugriff.
  • Beantrage ein neues Zertifikat mit neuem privaten Schlüssel.
  • Stärke deine Sicherheitsmaßnahmen und richte automatische Überwachung ein.

Mit Shopify Protect brauchst du dir keine Sorgen mehr über Betrugsprävention zu machen. Mit Algorithmen zur Betrugserkennung, die Bestellungen mit hohem Risiko kennzeichnen, und einem Rückbuchungsschutz, der den Streitfall bei einer betrügerischen Transaktion verwaltet, kannst du Shopify Protect noch heute aktivieren, um dein Geschäft zu schützen.

Was ist, wenn du mehrere Domains sichern musst?

Ein einzelnes SSL-Zertifikat sichert einen einzelnen Domainnamen. Viele Unternehmen benötigen jedoch eine Lösung, die mehrere Domainnamen oder Subdomains schützt. Für diese Unternehmen bietet das SSL-Protokoll zwei verschiedene Lösungen: ein Wildcard-SSL-Zertifikat oder ein Multi-Domain-SSL-Zertifikat. 

Wildcard-SSL-Zertifikat

Manche Unternehmen verwenden mehrere Subdomains (z. B. mail.example.com, shop.example.com), um verschiedene Funktionen auf derselben Website zu bedienen. Für diese Unternehmen ist die beste SSL-Lösung in der Regel ein Wildcard-SSL-Zertifikat. Ein solches Zertifikat sichert die Hauptdomain einer Website sowie alle zugehörigen Subdomains, was die Kosten senkt und die Verwaltung vereinfacht.

SSL-Zertifikat für mehrere Domains

Während Wildcard-SSL-Zertifikate helfen, Subdomains innerhalb einer einzigen Domain zu sichern, können Multi-Domain-SSL-Zertifikate (MDC) mehrere Domainnamen auf einmal sichern. Einem Multi-Domain-Zertifikat können über "Subject Alternative Names" (SANs) weitere Domains hinzugefügt werden – ohne dass ein zusätzliches Single-Domain-SSL-Zertifikat erworben werden muss. Multi-Domain-SSL-Zertifikate werden manchmal auch als Unified Communications Certificates (UCC) bezeichnet.

Was passiert, wenn ein SSL-Zertifikat abläuft?

Wenn ein SSL-Zertifikat abläuft, ist das so, als würde man deinem Unternehmen den Vertrauensbonus entziehen, mit teilweise schwerwiegenden Folgen.

  • Verlust von Usern. Besucher:innen, die versuchen, auf deine Website zuzugreifen, sehen beängstigende Warnmeldungen in ihren Browsern. Chrome zeigt vielleicht einen großen roten Bildschirm an, auf dem steht: "Ihre Verbindung ist nicht sicher". Die meisten Menschen klicken schnell auf den Zurück-Button, wenn sie diese Warnungen sehen.
  • Beeinträchtigung der SEO-Fähigkeiten. Auch Suchmaschinen wie Google mögen keine abgelaufenen SSL-Zertifikate und werden wahrscheinlich das Ranking deiner Website in den Suchmaschinenergebnissen senken, da sie sichere Websites bevorzugen. Das bedeutet, dass dich weniger Menschen über die Online-Suche finden werden.
  • Beeinträchtigung des Vertrauens der Verbraucher:innen. Wenn Kund:innen Sicherheitswarnungen sehen, werden sie sich fragen, ob es sicher ist, ihre Kreditkarteninformationen oder persönlichen Daten auf deiner Website anzugeben. Manche Kund:innen überlegen es sich zweimal, bevor sie wiederkommen, auch wenn du das Zertifikat repariert hast.

Die gute Nachricht: Die Ablaufdaten von Zertifikaten sind vorhersehbar. Sie stehen direkt auf deinem SSL-Zertifikat. Die meisten Zertifikate haben eine Laufzeit von einem Jahr, manche Anbieter:innen bieten aber auch Zweijahreszertifikate an. Es ist klug, dein Zertifikat mindestens ein paar Wochen vor dem Ablaufdatum zu erneuern.

Wie man ein SSL-Zertifikat erhält

Der Erwerb von Single- oder Multi-Domain-SSL-Zertifikaten und die Sicherung der Nutzerdaten auf deiner Website können komplex sein. 

  1. Bestimme den Grad der Website-Sicherheit, den du brauchst. Wähle zwischen DV, OV oder EV SSL. Überprüfe deine organisatorischen Anforderungen und dein Budget und wähle die passende Stufe der Identitätsüberprüfung.
  2. Bestimme die Domains und Subdomains, die unterstützt werden sollen. 
  3. Wähle eine Zertifizierungsstelle. Wenn du eine pflegeleichte Website oder einen Blog hast, musst du vielleicht nur mit deinem Web-Hosting-Service zusammenarbeiten und ein kostenloses Zertifikat erhalten. Für Multi-Domain- und EV-Zertifikate musst du eine kostenpflichtige Beziehung zu einer Zertifizierungsstelle eingehen.
  4. Erstelle eine Zertifikatssignierungsanforderung (CSR). Eine CSR-Datei enthält Informationen über deine Domain und dein Unternehmen und wird von der Zertifizierungsstelle (CA) verwendet, um dein SSL-Zertifikat zu erstellen. 
  5. Beantrage ein Zertifikat bei deinem gewählten SSL-Service. Dazu musst du in der Regel Webformulare ausfüllen und Zahlungen leisten.
  6. Überprüfe die Eigentumsverhältnisse und andere Details. Die Zertifizierungsstelle überprüft die Informationen, die du in deinem Antrag angegeben hast, und verlangt zumindest eine E-Mail-Bestätigung der Domaininhaberschaft.
  7. Beziehe und installiere das Zertifikat. Je nach der von dir gewählten Zertifizierungsstelle und deiner Webplattform lädst du eine ZIP-Datei herunter, die den öffentlichen Schlüssel, einen privaten Schlüssel und ein Zertifikatspaket enthält. Dieses Zertifikat musst du anschließend installieren. 
  8. Konfiguriere andere Anwendungen für die Verwendung des Zertifikats. Wenn du SSL-Verbindungen zu anderen Serveranwendungen (z. B. WordPress, E-Mail usw.) unterstützen willst, konfiguriere sie so, dass sie dein Zertifikat und das TLS-Protokoll verwenden.
  9. Überprüfe, ob deine sichere Verbindung funktioniert. Verbinde dich mit deiner Website und/oder anderen Apps und stelle eine sichere Verbindung sicher. Klicke auf das Vorhängeschloss und überprüfe die Informationen, die in deinem Browser angezeigt werden.
  10. Melde deine Website(s) bei Suchmaschinen an. Deine neuen "https"-Websites unterscheiden sich von deinen alten "http"-Sites. Wenn sich deine Nutzer:innen auf Suchmaschinen verlassen, um dich zu finden, musst du deine neue https-Adresse erneut übermitteln, damit deine Websites indiziert werden.

Fazit

Ein SSL-Zertifikat ist essenziell für den Schutz sensibler Daten und das Vertrauen deiner Kund:innen. Es sichert die Verbindung zu deiner Website, bestätigt deren Identität und ist ein wichtiges Signal für Seriosität im E-Commerce. Unabhängig von der Größe deines Unternehmens solltest du auf eine gültige, sichere Zertifikatslösung achten. So schaffst du eine vertrauensvolle Grundlage für langfristigen Erfolg.

Häufig gestellte Fragen zum SSL-Zertifikat

Wie hoch sind die Kosten für ein SSL-Zertifikat?

Die Kosten für ein SSL-Zertifikat können zwischen 30 und 500 Euro pro Jahr liegen, je nachdem, welche Art von Zertifikat und welchen Grad der Validierung du benötigst. Ein einfaches DV-Zertifikat (domain-validated) kostet etwa 30 bis 200 Euro pro Jahr, während EV-Zertifikate (extended validation), die die höchste Sicherheit und Verifizierung bieten, mehr als 500 Euro kosten können.

Kann ich ein kostenloses SSL-Zertifikat bekommen?

Ja, du kannst ein kostenloses SSL-Zertifikat über Dienste wie Let's Encrypt erhalten, eine gemeinnützige Zertifizierungsstelle, der alle wichtigen Browser vertrauen. Viele Web-Hosting-Dienste bieten auch kostenlose SSL-Zertifikate als Teil ihrer Hosting-Pakete an, allerdings handelt es sich dabei in der Regel um einfache Zertifikate mit Domain-Validierung.

Ist ein SSL-Zertifikat notwendig?

Ein SSL-Zertifikat ist für jede Website erforderlich, auf der Nutzer:innen persönliche Daten eingeben müssen. Auch wenn deine Website keine sensiblen Daten verarbeitet, sind SSL-Zertifikate sehr empfehlenswert, denn Suchmaschinen strafen Websites ohne sie ab und Browser warnen Nutzer:innen vor ungesicherten Websites.
AV
von
Veröffentlicht am
Artikel teilen
Beliebte Beiträge
subscription banner
Aktuelle Neuigkeiten von Shopify erfahren
Abonniere unseren Blog und erhalte kostenlose E-Commerce-Tipps, Inspiration und Ressourcen direkt in deinem Posteingang.

Du kannst dich jederzeit abmelden. Mit der Eingabe deiner E‑Mail-Adresse erklärst du dich damit einverstanden, Marketing-E-Mails von Shopify zu erhalten.

Mit Shopify überall verkaufen

Learning by Doing: Teste Shopify kostenlos und entdecke alle Tools, die du für die Gründung, den Betrieb und den Ausbau deines Business benötigst.

Kostenlos testen

Teste Shopify kostenlos, keine Kreditkarte erforderlich.