Transkript
[00:00:00] Music.
00:00:06: Hallo und herzlich willkommen bei Inside IONOS, mein Name ist Thilo Haertel und heute sprechen wir über einen sicheren Übertragungsweg
00:00:13: bei Aufrufen einer Webseite im Browser durch den Sicherheitsstandard SSL, kurz für Secure Sockets Layer.
00:00:19: Dazu begrüße ich Mirko Reimann, er ist verantwortlich für das globale strategische Partnermanagement bei der größten SSL-Authority DigiCert. Hallo Mirko! Sind meine Zahlungsinformation sicher, wenn ich sie bei einer Webseite eingebe?
00:00:34: Hallo Tilo, erstmal danke für die Einladung. Das eine sehr gute Frage, die man nicht so einfach mit Ja oder Nein beantworten kann.
00:00:40: Es besteht sogar die Antwort aus mehreren Elementen, aus ich würde sagen zwei. Einmal ist es die Verschlüsselung, die mir zur Verfügung gestellt werden muss, vom Browser, vom Formular, wo ich meine Daten eintrage, bis hin zum Webserver, wo die Seite gehostet wird,
00:00:53: beispielsweise bei der IONOS. Dabei hilft mir das Schloss-Symbol oder auch das https-Symbol in der Adressleiste, das zu erkennen,
00:01:00: und zum anderen ist es, dass ich selber auch die Vertrauenswürdigkeit dieser Seite
00:01:06: prüfen muss. Also dafür gibt es unterschiedliche Indikatoren, zum einen wäre ein Indikator, mir ist diese Webseite bekannt,
00:01:13: ich habe auf dieser Webseite schon mal etwas eingekauft und eine gute Erfahrung gemacht auf dieser Webseite, dann vertraue ich auch dieser Webseite. Oder ich kenne den Brand dieser Webseite,
00:01:22: es ist Zalando oder es ist Amazon, dann vertraue ich dem auch. Oder auch das Produkt, was über diese Webseite vertrieben wird, ist mir bekannt und hat einen gewissen
00:01:32: Vertrauensstatus. Des Weiteren ist es z.B. ein Vertrauensiegel oder ein Gütesiegel, was auf der Webseite installiert ist und angezeigt wird.
00:01:39: Oft kann man da sogar also auch drauf schauen und kann in die Authentifizierung, kann die Authentifizierung einsehen, also der Firmenname, die Adresse, Kontaktdaten, die
00:01:48: hier über eine dritte Instanz authentifiziert wurden. Was auch wichtig ist für mich persönlich immer sind so
00:01:54: Kundenbewertung, wo Kunden also wirklich ihre Bewertungen bei dem Einkauf abgegeben haben. Da sollte man drauf achten, dass es eine gewisse Anzahl ist und dass auch diese Kundenbewertung, halt ruhig mal durchlesen, ob das vertrauenswürdig erscheint.
00:02:06: Dann was natürlich gerade in Deutschland ganz wichtig ist, ist das Impressum, wo jeder eigentlich drauf schauen sollte bevor man in den Bezahlvorgang halt eingeht, ob das Impressum, das Unternehmen, was dort gelistet ist,
00:02:16: auch mit dem Brand und im Zusammenhang mit dieser Webseite steht, ja, das sind also
00:02:20: wichtige Themen. Und zum Schluss, was ich wichtig finde, ist, dass die Webseite auch funktionstüchtig ist und dass sie auch sich gut bedienen lässt und dass die Links alle funktionieren, das trägt doch mal sehr zur Vertrauenswürdigkeit bei.
00:02:30: Es gibt ja mehrere Validierungsstufen von SSL-Zertifikaten. Kannst du das vielleicht kurz erläutern?
00:02:37: Ja, es gibt drei Validierungsstufen von SSL-Zertifikaten. Das fängt an bei der einfachsten Validierungsform, das ist die Domainvalidierung, dabei wird von DigiCert
00:02:48: sichergestellt, dass die Domain dem Webseitenbetreiber gehört. Das ist eine sehr einfache Form der Authentifizierung, das lässt sich schnell realisieren auch. So ein Zertifikat ist ausgestellt in Minuten.
00:02:59: Dann gibt es die Organisationsvalidierung, wo wir also wirklich die Organisation hinter der Domain und hinter der Webseite validieren.
00:03:07: Dazu stellen wir sicher, dass die Organisation in Handelsregistern registriert ist, die Domain muss natürlich auch der Organisation gehören, wir finden über Telefonregister eine zentrale Telefonnummer des Unternehmens und überprüfen dann das Unternehmen auch schlussendlich noch mal über einen Telefonanruf,
00:03:23: dass das Unternehmen existiert. Und als
00:03:26: höchste Authentifizierungsform haben wir die Extended-Validation-Zertifikate, also Zertifikate mit noch erweiterter Validierung, wo wir sicherstellen, genau wie wir in den organisationsvalidierten Zertifikaten die organisationsvalidierte Domain,
00:03:39: aber auch der Ansprechpartner hinter dem Zertifikat. Da wird von uns validiert über die Personalabteilung, wo sichergestellt wird, dass
00:03:47: diese Person auch Mitarbeiter des Unternehmens ist und auch berechtigt ist, ein solches Zertifikat für das Unternehmen zu administrieren. Ein Beispiel wäre z.B., wenn
00:03:57: ich jetzt für die Firma DigiCert oder so ein Zertifikat beantragen würde, dann würde in der Authentifizierung das soweit
00:04:04: ganz gut eigentlich durchgehen, aber in der Personalabteilung würde dann auffallen, dass Mirko Reimann weder Admin ist noch ein Entwickler, der ein Zertifikat für die DigiCert betreiben darf.
00:04:14: Angenommen ich habe einen kleinen Onlineshop, was müsste ich als Shopbetreiber denn für ein Zertifikat nutzen?
00:04:21: Das hängt ein Stück weit davon ab, was für eine Organisation man selber ist. Also wenn man selber ein Unternehmen darstellt,
00:04:28: eine schon GBA, auch ein Einzelunternehmen, eine GmbH oder hald eine GmbH Co KG, AG, dann
00:04:35: sollte man definitiv sagen, ich bin ein Unternehmen und ich lass mein Unternehmen hier authentifizieren und ich stell auch das Unternehmen hier in den Vordergrund auf der Webseite. Das
00:04:44: gibt dem Enduser mehr Vertrauen oder dem Benutzer der Webseite mehr Vertrauen, von daher würde ich immer raten, die höchstmögliche Authentifizierungsform auch zu verwenden. In manchen Fällen, wenn man als Privatperson
00:04:55: einen kleinen Webshop betreibt, dann kommt eine Organisationsvalidierung gar nicht in Frage, da ist dann also wirklich die Domainvalidierung.
00:05:01: Wenn ich jetzt eine nicht-kommerzielle Webseite betreibe, auf der auch keine Transaktionen mit irgendwelchen persönlichen Daten stattfinden,
00:05:08: gibt's denn da trotzdem Anreize, warum ich mir ein SSL-Zertifikat für diese Seite zulegen sollte?
00:05:16: Da kommen wir wieder auf die Antwort ganz am Anfang zurück, wo ich sage, das Thema Vertrauen
00:05:21: auf einer Internetseite ist für den Benutzer dieser Internetseite super wichtig und gerade in der heutigen Zeit,
00:05:29: wo wir es oft auch mit Fake-News beispielsweise zu tun haben, will ich einfach sicherstellen, und das muss nicht immmer ein Bezahlvorgang sein, das können auch Informationen sein, die ich im Internet lese, will ich sicherstellen, dass die von einer überprüften Person stammen
00:05:42: und über diese Person möchte ich mich auch informieren und möchte sicherstellen,
00:05:46: ist das was, was meiner Meinungsbildung in Zukunft beiträgt oder ist das was, dem ich vertraue oder wo ich sage, das kann ich für meine Meinungsbildung verwenden, und von daher würde ich sagen, auch hier ist eine Authentifizierung immer von Vorteil.
00:05:58: Es gibt ja auch kostenlose SSL-Zertifikate. Wie unterscheiden die sich denn von denen jetzt genannten?
00:06:04: Die kostenfreien Zertifikate, da gibt es also lediglich die domainvalidierten Zertifikate.
00:06:11: Es gibt da also nicht diese unterschiedlichen Stufen der Validierung, was heißt, hier wird
00:06:14: keine Validierung durchgeführt, sondern hier werden die Zertifikate nur maschinell ausgestellt und über einen automatisierten Installationsprozess halt auch auf dem Server installiert. Das heißt hier
00:06:26: findet nicht die Form der Validierung statt, die wir als DigiCert den Endusern zur Verfügung stellen, und, wie gesagt, das Thema Validierung, Vertrauen im Internet, ist was, was man unterstreichen sollte oder was man hervorheben sollte.
00:06:37: Stichwort Quantum-Computing, kannst du da ein bisschen den Zusammenhang zu den SSL-Zertifikaten erläutern? Warum ist es so wichtig, sich da rechtzeitig drauf vorzubereiten?
00:06:47: Aktuell nutzen unsere TLS-Zertifikate, also die SSL-Zertifikate, eine der 2048-bit Verschlüsselung.
00:06:54: Mit den aktuellen Rechnern, Prozessoren, die uns zur Verfügung stehen, würde es in etwa
00:07:01: paar Tausende von Jahren kosten, um so eine so eine Verschlüsselung zu brechen. Mit einem Quantumprozessor, der also eine deutlich höhere Rechenleistung hat, würde das in einem Monat oder ein paar Wochen
00:07:10: funktionieren. Und von daher ist es wichtig, dass auch wir als CAs natürlich immer auf die neueste Technologie setzen und hier auch schon jetzt Quantum Roots in den Browsern implementiert haben. Das heißt, unsere Verschlüsselungstechnologie würde rein theoretisch jetzt schon eine Quantum-Sicherheit herstellen, wir können jetzt also schon in den Premium-Zertifikaten
00:07:29: quantumsichere Zertifikate zur Verfügung stellen. Das Problem ist momentan, dass es noch keine Quantum-Prozessoren wirklich im Internet gibt.
00:07:36: Da schließt sich auch so ein bisschen meine nächste Frage an. Also, SSL wurde in den Neunzigern etwa erfunden und hat sich jetzt auch über die letzten 10 Jahre würde ich mal sagen
00:07:46: mehr und mehr etabliert. Die großen Browser setzen es voraus, um eine Seite als sicher zu klassifizieren, und wie eben dieses Quantum-Computing,
00:07:56: entwickelt sich die Technologie ja auch stetig weiter. Wenn wir jetzt in die Zukunft von SSL blicken, wie wird's denn da weitergehen? Es wird also immer wieder neue Verschlüsselungsalgorithmen geben,
00:08:06: die Verschlüsselung wird sich weiterentwickeln und wird immer sicherer werden, dessen können wir uns sicher sein.
00:08:11: Des Weiteren denke ich, dass die derzeitige Konstellation zwischen den CAS wie DigiCert und den Browserherstellern
00:08:20: doch sehr wichtig, oder dass es immer wichtiger sein wird, dass man diese zusätzliche Vertrauensinstanz im Internet
00:08:27: sogar in der Zukunft noch deutlich mehr ausbaut. Es wird immer mehr Applikationen geben, die authentifiziert werden müssen, wo sichergestellt werden muss, dass diese Applikation wirklich zu diesem Unternehmen gehört und dass davon auch eine gewisse Vertrauenswürdigkeit ausgeht, und von daher sehe ich hier auch
00:08:41: in der Zukunft noch mehr Aufgaben für die CAs im Internet, eine Art,
00:08:47: ja, weltweiter Vertrauensanker im Internet zu sein, über den man seine Informationen halt jederzeit in Echtzeit prüfen kann, die man bezieht im Internet.
00:08:56: Vielen Dank für das Gespräch! Gern, vielen Dank! Ich hoffe, wir konnten Ihnen den Sicherheitsstandard SSL näher bringen. In den Shownotes finden Sie Links für mehr Informationen zum Thema.
00:09:05: Ich freue mich über Bewertungen, Anregungen und Kommentare, entweder direkt unter dieser Podcastfolge oder per Mail an podcast@ionos.com.
00:09:14: Abonnieren Sie Inside IONOS direkt unter inside.ionos.de auf Spotify, Apple Podcasts oder Deezer.
00:09:21: Und verpassen Sie keine Episode mehr. Vielen Dank fürs Zuhören und bis zum nächsten Mal.
00:09:26: Music.