von Andy Churley
Fast jedes Mal, wenn Sie eine Website besuchen, sich bei etwas anmelden oder etwas online kaufen, verwenden Sie ein SSL-Zertifikat, um Ihre sensiblen Daten zu schützen. Alle Unternehmen, die Websites betreiben, sollten mindestens ein SSL-Zertifikat besitzen. Google (und andere Suchmaschinen) kennzeichnen Websites ohne SSL-Zertifikat nun als "nicht sicher", wodurch der Website-Verkehr auf Nicht-SSL-Sites wegbricht.
Die Verwaltung von SSL-Zertifikaten wird oft in den Bereich der IT-Abteilung verlagert und wird von Geschäftsinhabern in der Regel kaum verstanden. SSL-Zertifikate enthalten jedoch zwei nicht-technische Elemente, die für jede geschäftliche Transaktion von entscheidender Bedeutung sind: Vertrauen und Datensicherheit. Ein grundlegendes Verständnis dafür, was sie tun und warum sie wichtig sind, ist ein Muss für Geschäftsleute.
Geschäftsinhaber sollten überprüfen:
ob alle ihre Websites ein SSL-Zertifikat bereitstellen;
festlegen, welche Stufe und Art von Zertifikat verwendet werden soll;
sicherstellen, dass alle Websites das richtige Zertifikat verwenden.
Der folgende kurze Artikel erklärt alles, was ein Geschäftsinhaber über SSL-Zertifikate wissen muss.
Wenn Sie nicht die Zeit haben, den gesamten Artikel zu lesen - kontaktieren Sie einfach das BrandShelter Team für ein kostenloses, unternehmensweites Portfolio-Audit, um einen aktuellen einen aktuellen Überblick über Ihren SSL-Stand zu bekommen.
Alles, was Geschäftsinhaber über SSL-Zertifikate wissen müssen
Jedes Mal, wenn Sie sich bei Ihrem Online-Bankkonto anmelden, jedes Mal, wenn Sie etwas bei Amazon kaufen und heutzutage, fast jedes Mal, wenn Sie eine Website besuchen - greifen Sie auf ein SSL-Zertifikat zu und sichern die Informationen, die Sie an es senden und die es an Sie sendet.
Für einzelne Internetnutzer ist die SSL-Verschlüsselung etwas, das unsichtbar passiert, aber für Online-Marken, Einzelhandelswebsites und große Unternehmen ist die SSL-Verschlüsselung der Grundstein für ihre Online-Sicherheit, ihr Kundenvertrauen und ihre Website-Einnahmen. Es ist daher überraschend, dass viele Marken weder eine SSL-Verwaltungsrichtlinie noch eine einzige Gruppe haben, die sie verwaltet.
Domainnamen und SSL-Zertifikate
Domainnamen (Webadressen) und SSL-Zertifikate sind untrennbar miteinander verbunden und teilen sich eine Reihe gleicher Eigenschaften:
1 - Sie sind zahlreich: Die meisten Unternehmen werden mehr als einen Domainnamen (viele werden Tausende haben) und mehr als ein SSL-Zertifikat haben.
2 - Sie laufen aus: Viele mittlere und große Unternehmen mit großen Portfolios könnten mit der Erneuerung mehrerer Domainnamen pro Tag konfrontiert sein.
3 - Sie sind mit Websites verknüpft: Domainnamen weisen den Weg zu einer Website und SSL-Zertifikate sind in der Regel eine sichere Kommunikation zwischen einer Website und einem Webbesucher.
Die Auswirkungen des Verlustes
Wenn man die Bedeutung eines Unternehmenswertes betrachtet, ist eine häufig verwendete Kennzahl die Auswirkung auf das Unternehmen, sollte dieser nicht mehr verfügbar sein.
Sowohl Domainnamen als auch SSL-Zertifikate sind geschäftskritische Online-Ressourcen. Wenn ein Domainname abläuft, ist seine Website nicht mehr im Internet zugänglich und die Fähigkeit, online zu handeln, geht verloren. Wenn ein SSL-Zertifikat abläuft, wird seine Website für Suchmaschinen nicht mehr vertrauenswürdig sein und alle Besucher werden eine Warnung erhalten, dass die Website nicht sicher ist - die Online-Einnahmen werden sinken.
Die meisten Online-Händler können Ihnen bis auf den Cent genau sagen, wie viel ein Ausfall sie in Bezug auf den Umsatz gekostet hat; die langfristigen Reputationskosten eines Sicherheitsverstoßes oder Datenverlusts sind schwieriger zu messen, werden aber allgemein als potenziell lähmend für jedes Unternehmen angesehen, egal wie groß es ist.
Domainnamen (Webadressen) werden zunehmend als geschäftskritische strategische IP-Assets erkannt und unter die Obhut einer einzelnen Gruppe oder Abteilung (in der Regel der Rechts- oder Marketingabteilung) gestellt. Diese Gruppen erkennen den strategischen Wert eines Domainnamens an, anstatt nur seine finanziellen Kosten zu zählen, und erkennen auch den Wert des gesamten Domainportfolios an, nicht nur aus der Sicht seines Ertragspotenzials, sondern auch aus der Sicht des Markenschutzes.
Es ist weitaus seltener, dass Unternehmen ihre SSL-Zertifikate zentral verwalten, und sie werden in der Regel von IT-Abteilungen verwaltet, da im Gegensatz zu Domainnamen SSL-Zertifikate auf Computerhardware installiert werden müssen, um zu funktionieren.
Es geht um die Sicherheit, oder?
Die meisten Webnutzer betrachten SSL-Zertifikate als die Dinge, die die Sicherheit bei E-Commerce-Transaktionen bieten - und sie haben Recht. Aber SSL-Zertifikate leisten noch viel mehr.
Das Hauptziel für jedes Unternehmen, das SSL-Zertifikate verwendet, besteht darin, zwei wesentliche Dinge zu gewährleisten:
1 - Geheimhaltung: Sicherstellen, dass jede Kommunikation zwischen einem Website-Besucher und den Website-Besitzern über das Internet sicher und frei von Abhören oder Manipulationen (Sicherheit) ist, indem „man in the middle attacks" verwendet.
2 - Legitimität: Nachweis eines klaren Beweises für jeden Webbesucher, dass seine Website tatsächlich zu ihm gehört (Validierung).
Wie sicher ist die SSL-Verschlüsselung?
Kurz gesagt, es ist fast unmöglich, einen Brute-Force-Angriff gegen die SSL-Verschlüsselung durchzuführen.
Um Ihnen eine Vorstellung zu geben.... verwenden wir oft die Metapher "versuchen, eine Nadel im Heuhaufen zu finden". Es ist eine großartige Metapher, da wir alle sehen können, wie schwierig und zeitaufwendig das wäre.
Lassen Sie uns diese Metapher etwas vergrößern, um zu sagen, dass es wie der Versuch ist, „ein Atom im gesamten Universum zu finden". Wenn man sich alles im bekannten Universum vorstellen könnte...., würde man etwa 1082 Atome betrachten (das sind 10 mit 82 Nullen danach). Das ist eine sehr große Zahl!
Um eine verschlüsselte Nachricht mit 1024-Bit-Verschlüsselung zu faktorieren (knacken), müsste ein Angreifer mehr als 10305 verschiedene Primzahlen ausprobieren. Das ist eher wie der Versuch, ein Atom in einem Universum von Universen zu finden".
Um es einem Angreifer noch schwerer zu machen, verwenden heute fast alle Browser standardmäßig eine 2048bit-Verschlüsselung, die 4,3 Milliarden Mal schwerer zu berechnen ist als ein einfacher 1024bit-Schlüssel.
Die drei Stufen des SSL-Zertifikats.
Bei der Validierung geht es um Vertrauen. Damit E-Commerce richtig funktioniert, muss jeder, der etwas online kauft, darauf vertrauen können, dass er eine hohe Wahrscheinlichkeit hat, den bestellten Artikel zu erhalten. Wenn ein Kunde eine Website besucht, um etwas zu kaufen, muss er sicher sein, dass die Website, die er besucht, tatsächlich die Website ist, die er besuchen wollte. SSL-Zertifikate bieten 3 Stufen der nachweisbaren Validierung:
Domain Validated (DV)-Zertifikate werden nur mit dem Domainnamen verifiziert, bei dem der Zertifikatsaussteller eine Verifizierungsdatei zur Verfügung stellt, die der Website-Besitzer auf der Website platziert.
Organisation validierte (OV)-Zertifikate beschleunigen den Validierungsprozess, bei dem der Zertifikatsaussteller das Geschäft und die Geschäftsadresse des Antragstellers überprüft.
Extended Validation (EV)-Zertifikate bieten die maximale Sicherheit und erfordern die meisten Validierungen. Der Zertifikatsaussteller überprüft unter anderem die rechtliche Existenz und Identität, laufende Bankkonten, physische Existenz, Domainbesitz und identifiziert eine bekannte Person, die das Zertifikat anfordert.
Die vier Arten von SSL-Zertifikaten
Während es drei Validierungsstufen von SSL-Zertifikaten gibt, gibt es vier gängige Arten von SSL-Zertifikaten. Aus sicherheitstechnischer und betrieblicher Sicht ist es wichtig, die richtigen SSL-Zertifikate für Ihre geplante Internet-Infrastruktur und Geschäftsabläufe zu verwenden.
Single Domain SSL-Zertifikate ermöglichen es dem Website-Besitzer, einen voll qualifizierten Domainnamen mit einem einzigen Zertifikat zu sichern. Diese Art von Zertifikat wird oft von KMUs bevorzugt, die nur eine Hauptseite haben.
WildCard SSL-Zertifikate ermöglichen es Website-Besitzern, einen einzelnen Domainnamen und alle Subdomains wie z.B. www.domain.name, investor.domain.name und login.domain.name zu schützen. Alle nachfolgenden Subdomains, die hinzugefügt werden, werden automatisch mit einem Wildcard-Zertifikat gesichert.
Subject Alternative Names (SAN)-Zertifikate (manchmal auch Multi-Domain-Zertifikate genannt) ermöglichen es Website-Besitzern, mehrere Domainnamen unter einem einzigen Zertifikat zu schützen. Allerdings müssen die Website-Besitzer angeben, welche Domainnamen durch ein SAN-Zertifikat abgedeckt werden sollen.
Unified Communications (UC)-Zertifikat ist ein Zertifikat, das zum Schutz von Microsoft-Kommunikationsinstallationen wie Exchange und Office entwickelt wurde. UC-Zertifikate unterstützen den Microsoft Exchange Autodiscover-Dienst und ermöglichen es Umgebungsinhabern, mehrere Domänen in einem einzigen Zertifikat anzugeben.
Ein Internet, in dem alles sicher ist.
Bis vor kurzem konzentrierte sich Chrome darauf, Websites, die mit SSL-Zertifikaten geschützt waren, mit einem grünen Schloss-Symbol und dem Wort "Secure" in der URL-Leiste hervorzuheben. Damit werden Websites belohnt, die sich für die Implementierung der SSL-Sicherheit entschieden haben.
Die Nachricht für alle Website-Besitzer ist nun sehr einfach. Jedes Online-Eigentum, das sie besitzen, sollte durch SSL geschützt sein. Es gibt keinen alternativen Weg für Unternehmen, die ihren Kunden zeigen wollen, dass sie Sicherheit ernst nehmen.
Was Unternehmer jetzt tun müssen
Die gute Nachricht ist, dass Lösungen schnell zur Hand sind und sich sehr einfach, kostengünstig und umfassend umsetzen lassen. SSL-Zertifikate sorgen für die notwendige Einhaltung der strengen Suchregeln von Google und anderen Webbrowsern und schützen Ihre wichtigsten Assets - Ihre Website-Besucher.
Unternehmen sollten mindestens Folgendes tun:
Identifizieren Sie alle Ihre Websites und prüfen Sie, ob sie über ein SSL-Zertifikat verfügen.
Kategorisieren Sie die Hauptfunktion: jeder Website. Verkauft die Website Produkte und Dienstleistungen? Bietet sie Downloads an? Gibt es einen Bereich für die Besucherregistrierung, z.B. um sich anzumelden, um Neuigkeiten und Informationen zu erhalten?
Erstellen Sie eine Richtlinie: um festzustellen, welche Ebene und Art von SSL-Zertifikat für jede Kategorie von Website-Funktionen erforderlich ist.
Überprüfen Sie alle Ihre Websites: um sicherzustellen, dass jede von ihnen das richtige SSL-Zertifikat für ihre Funktion hat, dass es korrekt implementiert wurde und dass es nicht abgelaufen ist.
Unternehmen sollten auch ernsthaft in Betracht ziehen:
1 - Standardisierung auf eine Marke von SSL-Zertifikaten, um das Zertifikatsmanagement zu vereinfachen und das Risiko eines unbemerkten Ablaufs des Zertifikats zu verringern.
2 - Auswahl eines Zertifikatsmanagement-Portals, das Verzögerungen bei der Ausgabe reduziert und dazu beiträgt, das Portfolio zu optimieren und auf dem neuesten Stand zu halten.
3 - Ansiedlung eines Teams (innerhalb der Organisation oder eines externen Partners), das für die Verwaltung des SSL-Zertifikatsportfolios des Unternehmens verantwortlich ist.
BrandShelter bietet ein kostenloses, unternehmensweites Portfolio-Audit, um einen aktuellen Überblick über Ihren SSL-Zustand zu erhalten.
Kontaktieren Sie uns, um mehr zu erfahren!
