Was ist eigentlich ein SSL-Zertifikat?
Jeder möchte gerne sicher im Internet unterwegs sein und somit möchte auch jeder seriöse Seitenanbieter entsprechende Sicherheit bieten. Ein Faktor hierbei ist der verschlüsselte Seitenaufruf per https anstatt http. Hierbei werden die übertragenen Daten zwischen dem Rechner des Besuchers und dem Webserver auf dem die Seite liegt verschlüsselt. Dadurch wird der Abgriff von eingegebenen Daten für Dritte erschwert. Ich sage an dieser Stelle ganz bewusst nicht unmöglich, denn unmöglich ist nichts.
Bislang war ein https-Aufruf vor allem bei Onlineshops und dort im Kassenbereich typisch um zu verhindern, dass personenbezogene Daten und Bankdaten abgefangen werden können. Im Laufe der Zeit wurde diese Verschlüsselung vom Kassenbereich auf die gesamte Seite ausgeweitet und heute geht der Standard zur grundsätzlichen Verschlüsselung. Angeblich werden die Seiten dann auch von Google besser bewertet als ohne https.
Sinnvoll ist es allemal überall dort, wo personenbezogene Daten eingetragen werden, also auch für jedes Kontaktformular, ein Forum oder eben überall wo man seine persönlichen Spuren hinterlässt.
SSL beim Kontaktformular
Wie oben beschrieben wird durch ein SSL-Zertifikat zwar die Eingabe des Besuchers bis zum Webserver verschlüsselt, aber von dort wird die Information dann per E-Mail versendet. Dies ist also ein vom SSL-Zertifikat unabhängiger Schritt und daher nicht zwingend verschlüsselt. E-Mails gehören noch immer zu den unsichersten Kommunikationsarten. Selbst eine Postkarte wird von weniger Menschen gelesen als möglicherweise eine E-Mail. Daher sollten wichtige Informationen nicht ohne weiteres per E-Mail verschickt werden. Wenn die empfangende Mailadresse für ein Kontaktformular beim gleichen Hoster verwaltet wird, wie die Internetseite, dann stehen die Chancen sehr gut, dass die E-Mail das Rechenzentrum des Hosters nicht verlässt und somit intern zugestellt wird, was die Sicherheit deutlich erhöht. Allerdings sollte man beim Mailversand trotzdem immer darauf achten, dass auch dieser verschlüsselt (STARTTLS, TLS, SSL) erfolgt. Wobei diese Verschlüsselung auch nur zwischen der Eingabestelle (z.B. Mailprogramm) und dem Mailserver stattfindet. Ein Mailversand von einem Mailserver zum anderen (z.B. Telekom zu 1und1) ist dann in der Regel wieder unverschlüsselt.
Was ist nun mit LET’s ENCRYPT?
SSL-Zertifikate kosten Geld. Je nachdem wie sicher so ein Zertifikat sein soll und welche Funktionen (z.B. grüne Adressleiste, Angaben zum Betreiber) es beinhaltet überlegen sich vor allem kleine Seitenbetreiber sehr genau ob sie dieses Geld investieren wollen bzw. können. Seit dem 3. Dezember 2015 gibt es nun kostenlose SSL-Zertifikate von „LET’s ENCRYPT“. Ein Segen für alle um nun endlich ohne Kosten eine sichere Seite anzubieten? Weit gefehlt, denn zu einem Zertifikat gehört auch eine eigene IP-Adresse. Diese muss beim jeweiligen Hoster hinzugebucht werden, wodurch dann auch wieder Kosten entstehen. Zudem bietet nicht jeder Hoster die Einbindung des kostenlosen „LET’s ENCRYPT“ an. Böse Zungen behaupten nun das läge daran, dass diese Hoster nur seine teuren Zertifikate weiterhin verkaufen will. Sicherlich ist dies in manchen Fällen ein wirtschaftliches Argument, aber man sollte nicht vergessen, dass gerade „LET’s ENCRYPT“ in seinem bislang kurzen Leben schon mehrfach negativ aufgefallen ist, weil gerade diese Verschlüsselung geknackt wurde. Zudem benötigt dieses Zertifikat tiefgreifende Systemrechte, die seriöse Hoster aus Sicherheitsgründen nicht öffnen werden. Kostenlos ist daher nicht immer gut und sollte daher gut durchdacht werden.
Weitere Infos
Unter anderem bietet heise.de hier diverse weiterführende Informationen an und auch Suchmaschinen liefern viele Ergebnisse und weiteres Wissen. Aufgrund der Gefahr durch „LET’s ENCRYPT“ möchte ich hier jedoch auf einen Bericht von Heise-Security hinweisen:
