SSL/TLS-Zertifikate verstehen: Arten, Validierungsstufen und Erwerb

Ein SSL/TLS-Zertifikat wird mit verschiedenen Diensten wie Web- oder Mailservern verknüpft, um die Datenintegrität und sichere Kommunikation zu gewährleisten. Diese Zertifikate bestätigen die Identität des Ursprungsservers und verhindern, dass Angreifer diesen imitieren, um Benutzerdaten zu stehlen. Jedes Zertifikat enthält ein Schlüsselpaar – einen öffentlichen und einen privaten Schlüssel. Der öffentliche Schlüssel verschlüsselt die übertragenen Daten, während der private Schlüssel auf dem Server sie entschlüsselt, um die Vertraulichkeit während der gesamten Übertragung sicherzustellen.

Transport Layer Security (TLS) ist der moderne Nachfolger der Secure Socket Layer (SSL)-Technologie. Obwohl SSL die ältere Version ist, wird der Begriff „SSL-Zertifikat“ weiterhin häufig verwendet, um TLS-Zertifikate zu bezeichnen.

Dieser Leitfaden gibt einen Überblick über die verschiedenen Arten von SSL-Zertifikaten, deren Validierungsmethoden sowie einen Vergleich zwischen kommerziellen, Let’s Encrypt- und selbstsignierten Zertifikaten.

Arten von SSL-Zertifikaten

Es gibt mehrere Arten von SSL-Zertifikaten, die für unterschiedliche Anwendungsfälle und Sicherheitsanforderungen entwickelt wurden. Ein einfaches SSL-Zertifikat schützt nur eine einzelne Domain, während andere Varianten mehrere Domains, Subdomains oder IP-Adressen absichern können.

Die Haupttypen von SSL-Zertifikaten sind:

  • Single-Domain-Zertifikat
  • Multi-Domain-Zertifikat
  • Wildcard-Zertifikat
  • IP-Adress-Zertifikat

Ein Single-Domain-Zertifikat schützt eine einzelne vollständig qualifizierte Domain (FQDN) und alle zugehörigen Unterseiten. Beispielsweise sichert ein Zertifikat für example.com sowohl example.com als auch dessen interne Seiten.

Ein Multi-Domain-Zertifikat deckt mehrere FQDNs unter einem Zertifikat ab. Im Gegensatz zu einem Single-Domain-Zertifikat kann es mehrere eindeutige Domainnamen wie example.com und example.net gleichzeitig schützen.

Ein Wildcard-Zertifikat schützt alle Subdomains einer Domain. Ein Zertifikat für example.com deckt etwa www.example.com, app.example.com und weitere Subdomains ab.

Ein IP-Adress-Zertifikat sichert Dienste, die direkt über eine IP-Adresse ansprechbar sind, anstatt über einen Hostnamen. Es funktioniert ähnlich wie ein Single-Domain-Zertifikat, verwendet aber eine IP-Adresse statt eines Domainnamens.

Validierungsstufen von SSL-Zertifikaten

Eine Zertifizierungsstelle (CA) überprüft die Anträge auf Zertifikatsignierung (CSR) und stellt Zertifikate für bestimmte Subjekte wie Domains oder IP-Adressen aus. Selbstsignierte Zertifikate besitzen keine Validierungsstufe, da sie nicht durch eine CA bestätigt werden.

Die drei gängigen Validierungsstufen sind:

  • Domain Validation (DV)
  • Organization Validation (OV)
  • Extended Validation (EV)

Domain Validation (DV) ist die einfachste Validierungsstufe. Let’s Encrypt stellt ausschließlich DV-Zertifikate aus. Hierbei bestätigt die CA lediglich den Besitz der Domain durch eine E-Mail, einen DNS-TXT-Eintrag oder eine Verifizierungsdatei im Webverzeichnis. DV-Zertifikate gelten nicht für IP-Adressen.

Organization Validation (OV) bietet eine erweiterte Prüfung. Dabei wird zusätzlich die Existenz und Seriosität der Organisation verifiziert, die das Zertifikat beantragt hat. OV-Zertifikate vermitteln mehr Vertrauen und werden häufig von Unternehmen, Behörden und Institutionen genutzt.

Extended Validation (EV) stellt die höchste Stufe der Prüfung dar. Neben der organisatorischen Überprüfung wird die physische Existenz, die rechtliche Stellung und die exklusive Inhaberschaft überprüft. EV-Zertifikate bieten das höchste Vertrauen und sind ideal für Banken, große Unternehmen und sicherheitsrelevante Websites.

Selbstsignierte SSL-Zertifikate

Selbstsignierte Zertifikate werden mit dem eigenen privaten Schlüssel erstellt und signiert, ohne dass eine externe CA beteiligt ist. Sie werden häufig in Test- oder Entwicklungsumgebungen eingesetzt. Da ihnen die Signatur einer CA fehlt, stufen Browser sie standardmäßig als unsicher ein – sie können jedoch manuell als vertrauenswürdig markiert werden.

Gültigkeit: Benutzerdefiniert
Verfügbare Typen: Single Domain, Multi Domain, Wildcard, Beliebige IP-Adresse

Ein selbstsigniertes Zertifikat kann mit dem openssl-Tool erstellt werden, das auf den meisten Betriebssystemen verfügbar ist. Es generiert öffentliche und private Schlüssel, die zur Absicherung von SSL/TLS-Diensten verwendet werden. Weitere Informationen finden Sie in der offiziellen openssl-req-Dokumentation.

Selbstsignierte Zertifikate sind kostenlos und ideal für interne Systeme. Sie können für jede Art von Subjekt, einschließlich privater IP-Adressen, ausgestellt werden und haben keine feste Laufzeitbegrenzung. Außerdem können mehrere selbstsignierte Zertifikate genutzt werden, um eine eigene interne Zertifizierungsstelle zu betreiben.

Let’s Encrypt SSL-Zertifikate

Let’s Encrypt bietet kostenlose SSL/TLS-Zertifikate mit Domain-Validierung (DV). Diese Zertifikate besitzen eine kurze Gültigkeitsdauer, um Missbrauch zu verhindern. Das Projekt nutzt das ACME-Protokoll (Automated Certificate Management Environment), um die Ausstellung und Verlängerung zu automatisieren.

Gültigkeit: 90 Tage
Verfügbare Typen: Single Domain, Multi Domain, Wildcard

Die Erstellung und Verwaltung erfolgt über das certbot-Tool. Die HTTP-01-Prüfung validiert Domains, die öffentlich erreichbar sind, während die DNS-01-Prüfung für interne oder nicht-webbasierte Umgebungen geeignet ist. Weitere Informationen finden Sie in der offiziellen Certbot-Dokumentation.

Hinweis: Let’s Encrypt setzt Ratenbegrenzungen für die Ausstellung neuer Zertifikate. Für Tests sollte der Staging-Server des ACME-Protokolls verwendet werden.

Let’s Encrypt-Zertifikate werden von allen gängigen Browsern als vertrauenswürdig anerkannt und eignen sich besonders für kleine Websites, Blogs oder Webanwendungen. Sie können bis zu 100 Hostnamen enthalten oder als Wildcard-Zertifikat alle Subdomains einer Domain abdecken. Durch die ACME-Automatisierung sind sie ideal für Container-Umgebungen wie Docker und Kubernetes.

Kommerzielle SSL-Zertifikate

Kommerzielle Zertifikate werden von externen Zertifizierungsstellen (CAs) nach einer Prüfung auf DV-, OV- oder EV-Ebene ausgestellt. Diese Zertifikate sind kostenpflichtig, bieten jedoch ein höheres Maß an Glaubwürdigkeit und Sicherheit. Sie werden von allen Browsern als vertrauenswürdig anerkannt.

Gültigkeit: 1 Jahr
Verfügbare Typen: Single Domain, Multi Domain, Wildcard, Öffentliche IP-Adresse

Um ein kommerzielles Zertifikat zu erwerben, muss man einen CSR einreichen, die gewünschte Validierungsmethode auswählen und nach erfolgreicher Prüfung das Zertifikat erhalten. Die Laufzeit beträgt in der Regel ein Jahr, Mehrjahrespakete erfordern jedoch jährliche Erneuerungen.

Kommerzielle Zertifikate stärken die Markenidentität und das Vertrauen der Nutzer, insbesondere bei höheren Validierungsstufen (OV und EV). Sie eignen sich für Unternehmen, E-Commerce-Plattformen und Finanzdienstleister. Zudem können sie öffentliche IP-Adressen absichern und sind mit Diensten kompatibel, die keine ACME-Unterstützung bieten.

Die Preise variieren je nach Typ und Validierungsniveau und reichen von etwa 5 $ bis zu mehreren tausend $. DV-Zertifikate sind am günstigsten, während OV- und EV-Zertifikate teurer sind, da sie zusätzliche Prüfungen erfordern.

Fazit

SSL/TLS-Zertifikate unterscheiden sich in Typ und Validierungsstufe – je nach Anwendungszweck. Interne Systeme können mit selbstsignierten Zertifikaten betrieben werden, während öffentliche Dienste auf CA-signierte Zertifikate setzen sollten, um Vertrauen und Sicherheit zu gewährleisten. Kommerzielle SSL-Zertifikate bieten die höchste Glaubwürdigkeit und eignen sich besonders für sicherheitskritische Bereiche wie E-Commerce und Banken.

Quelle: vultr.com

Jetzt 200€ Guthaben sichern

Registrieren Sie sich jetzt in unserer ccloud³ und erhalten Sie 200€ Startguthaben für Ihr Projekt.

Das könnte Sie auch interessieren: