Die Crux mit den Zertifikaten

Bei Shopsystemen sind sie längst Standard, doch wer hat sie auf einer Nicht-Shopseite? Kaum jemand. Die Rede ist von SSL Zertifikaten. Was ist ein solches Zertifikat?

Der Wikipedia-Autor, der den Artikel drüber geschrieben hat, hat es in recht sinnvolle Worte gepackt: "Ein digitales Zertifikat ist ein digitaler Datensatz, der bestimmte Eigenschaften von Personen oder Objekten bestätigt und dessen Authentizität und Integrität durch kryptografische Verfahren geprüft werden kann. Das digitale Zertifikat enthält insbesondere die zu seiner Prüfung erforderlichen Daten." (Zitat aus https://de.wikipedia.org/wiki/Digitales_Zertifikat). Eine Seite, die über ein SSL-Zertifikat gesichert ist, erkennt man daran, dass sie nicht über das http-Potokoll läuft, sondern über das https-Protokoll. Man sieht also in einer Adressleiste im Browser nicht http://beispiel.de, sondern https://beispiel.de.

Nicht brandneu, doch auch noch nicht allen Seitenbetreibern geläufig ist, dass Datenschutzbehörden aktuell Abmahnungen verschicken an Seitenbetreiber, die Kontaktformulare haben oder Newsletteranmeldungen, also eine Möglichkeit bieten, persönliche Daten einzutippen und an den Seitenbetreiber zu senden, doch kein SSL Zertifikat betreiben.

Nun gibt es da verschiedene Möglichkeiten, zwischen denen man sich entscheiden muss. Eigentlich würden grade wir "kleineren" Seitenbetreiber gerne kostenfreie Zertifikate haben. Einige haben diese auch. Aber wenn es kostenfrei ist, ist es "selbstsigniert", d.h. der Inhaber hat lediglich bei seinem Zertifikatsanbieter Besitzerdaten hinterlegt, die aber nie geprüft worden sind. Die Seitenbesucher wissen damit noch nicht wirklich etwas anzufangen. Denen wird die Meldung vorgelegt, dass sie sich auf einer möglicherweise unsicheren Seite befinden und ob sie eine Zertifikats-Ausnahmeregel hinzufügen möchten oder lieber nicht ... die meisten entscheiden sich dafür, die Seite schnell wieder zu verlassen. Lieber nicht.

Ganz das Gegenteil ist das Wildcard-Zertifikat, das sogar für Subdomains gilt. Dafür legt man aber mal gute 300 Euro im Jahr auf den Tisch. Eine Ausgabe, die wirklich gering ist im Vergleich zu den Kosten einer Strafzahlung aufgrund Verstoßes gegen das Datenschutzgesetz. Dennoch belastet sie den ganz kleinen Seitenanbieter, z.B. einen Verein, einen Einzelselbständigen, einen Gründer, eine Privatperson ... selbst.

Deshalb habe ich mich für die Zwischenlösung entschieden: Ein ganz normales von einer Zertifizierungsstelle signiertes SSL-Zertifikat. Durch Einreichen meiner Personalausweiskopie wurde die Richtigkeit meiner Angaben geprüft und mein Zertifikat sagt jetzt nichts von "oh, Vorsicht, das könnte nicht sicher sein". Dennoch habe ich unter 100 Euro je Domain zahlen müssen, was im Vergleich zur Wildcard schon erheblich günstiger ist.

Wer hier neulich über diese Meldung mit möglicherweise nicht sicher gestolpert ist, hat mir beim Testen zugesehen: Mit einem selbstsignierten, das nichts kostet, probiert man erst mal aus, ob die Webseiten mit Zertifikat überhaupt anständig laufen und dann wird von der Zertifizierungsstelle signiert.

Falls jemand von Euch ebenfalls mit einem Kontaktformular ohne SSL unterwegs ist: Sprecht mal Euren Webhoster an, ob er Euch eines einrichten kann und was das über ihn kostet. Haltet aber gleich eine Ausweiskopie bereit, dass es schnell geht.