Laut Google sind mittlerweile 73 % aller Webseiten verschlüsselt und haben ein entsprechendes SSL/TLS-Zertifikat eingebunden. Mit der Einführung von kostenfreien Let’s Encrypt-Zertifikaten zum Ende des Jahres 2015, ist auf dem Markt für Zertifikate eine kleine Revolution gestartet worden, welche sogar die Marktführer hinter sich lassen. Wir erklären warum das so ist und warum kostenpflichtige Zertifikate die bessere Wahl sein können.
Die Entwicklung von Let’s Encrypt-Zertifikaten erfolgt durch die Internet Security Research Group (ISRG). Hinter dieser gemeinnützigen Organisation stehen viele verschiedene Firmen und Organisationen, unter anderem die Mozilla Foundation, Akamai, Cisco Systems oder die Electronic Frontier Foundation.
Warum ist Let’s Encrypt so erfolgreich?
Innerhalb der letzten 4 Jahre hat Let’s Encrypt (LE) ein enormes Potenzial entwickelt, weil es einfach zu installieren und kostenfrei zu nutzen ist. Doch das ist nicht alleine die treibende Kraft, welche zu diesem enormen Siegeszug der SSL/TLS-Zertifikate führte.
Die Firma Google, welche ebenfalls Teil der ISRG ist, hat 2016 ihren Algorithmus der Suchmaschine dahingehend angepasst, dass verschlüsselte Seiten in den Suchergebnissen bevorzugt werden. Webseiten-Betreiber, die auf Besucher aus der Google-Suche nicht verzichten wollen, haben daher sehr schnell gehandelt und überwiegend auf kostenlose LE Zertifikate zurückgegriffen.
Darüber hinaus hat Google relativ unsicheren Betreibern von SSL/TLS-Zertifikaten das Vertrauen entzogen und markiert diese im Browser Chrome als unsicher. Daraufhin haben nochmal viele Webseitenbetreiber das Zertifikat gewechselt.
Von Mitte 2016 bis Anfang 2018 ist der weltweite Marktanteil der LE Zertifikate von 5% auf unglaubliche 40% gestiegen. Mittlerweile bieten beispielsweise auch DigiCert und Comodo kostenfreie Domain-Zertifikate an.
Kostenfreie Zertifikate begünstigen Phishing!
Automatisierungen sind immer anfällig für Manipulationen. So nutzen mittlerweile auch viele Kriminelle für Phishing-Versuche eine SSL/TLS-Zertifizierung für Ihre Internetseiten. Mit den gefälschten Phishing-Loginseiten über HTTPS wird suggeriert, dass es die wirkliche offizielle Seite ist, zumal der Browser auch keine Warnung anzeigt.
Mehr Sicherheit bieten nur OV- oder EV-Zertifikate!
Online-Unternehmen sollten besser auf OV- und EV-SSL-Zertifikate setzen
Die Sicherheitsanforderungen vieler Unternehmen werden oftmals nur über SSL/TLS-Zertifikate der Stufe „Organization Validation“ (OV) oder „Extended Validation“ (EV) erreicht.
Wenn Unternehmen über ihre Website sensible Abläufe ermöglichen, ist es besonders wichtig, dass der User erkennt, dass die besuchte Seite wirklich die korrekte Seite ist. Das betrifft in erster Linie Banken, Online-Handelsunternehmen und Online-Dienstleister.
Der User sieht im Browserfenster bei EV-SSL-Zertifikaten immer den Namen des Unternehmens. Bei „Organisation SSL“ und „Extended SSL“, wie sie auch genannt werden, hat IMMER ein Mensch die Überprüfung und Zertifizierung durchgeführt.
Wenn die Identität des Inhabers korrekt ist, wird der Unternehmensname sowie die Abkürzung für das Land mit dem Unternehmenssitz, in der Adresszeile aufgeführt. Je nach Browser ist die Darstellung ein wenig unterschiedlich, meistens mit grünem Hintergrund oder grüne Schriftfarbe.
Welche Kriterien manuell vom zertifizierenden Mitarbeiter geprüft werden ist unterschiedlich, es kann ein Telefonanruf, eine Register-Eintrag-Überprüfung oder beides sein. Das Organisation SSL (OV) wird nur an Unternehmen vergeben, welche einen Eintrag ins Handelsregister vorweisen können. Personengesellschaften oder andere Unternehmensformen, die keinen Handelsregistereintrag haben, müssen daher immer Extended SSL (EV) wählen.
Ist der grüne Firmenname im Adressfeld wirklich die Kosten wert?
Der Online-Handel boomt, ob ein Kunde auf der Internetseite eines Unternehmens einen Kauf tätigt oder zur Konkurrenz geht, hängt bei gleichem Preis meistens nur von einem Faktor ab – dem Kundenvertrauen.
Welchem Unternehmen vertraut der Kunde seine Daten über seine Kreditkarten oder Bankverbindung an? Natürlich nur dem Unternehmen, dem er zu 100% vertraut. Das richtige SSL-Zertifikat kann daher über den Kauf und somit über den Erfolg einer Website entscheiden.
Sie interessieren sich für hochsichere TLS/SSL-Zertifikate? Sprechen Sie uns an, wir beraten Sie gerne.