Wie man SSL Zertifikate überprüft und sicher bleibt

Anfang 2025 wird das Internet mit rund 5,56 Milliarden Nutzern weiter an Reichweite gewinnen. Dieses Wachstum wird durch technologische Fortschritte wie die 5G-Konnektivität, die Verbreitung mobiler Geräte und die zunehmende Verfügbarkeit vielfältiger Online-Inhalte vorangetrieben.

Das Internet durchdringt heute das tägliche Leben und bietet Dienste, die von der einfachen Bereitstellung von Inhalten und Videostreaming bis hin zu komplexen Arbeitsumgebungen und Finanzlösungen reichen. Unternehmen auf der ganzen Welt durchlaufen einen tiefgreifenden digitalen Wandel und machen Daten online zugänglicher als je zuvor.

Die Sensibilität und Vertraulichkeit dieser Daten ist jedoch nach wie vor von größter Bedeutung. Informationen, die persönliche und finanzielle Details beinhalten, müssen durch robuste Sicherheitsverfahren geschützt werden. Hier spielen die Protokolle Transport Layer SecurityTLS) und Secure Sockets LayerSSL) eine entscheidende Rolle bei der Sicherung und Verschlüsselung der Kommunikation über das Internet.

TLS ist der Industriestandard für die Sicherung von Websites, APIs und Online-Diensten, da die wichtigsten Normungsgremien SSL aufgrund seiner Schwachstellen auslaufen lassen. Da sich die Bedrohungen weiterentwickeln, wird TLS weiterhin mit Fortschritten wie der Post-Quantum-Kryptografie angepasst, während SSL veraltet bleibt. Die derzeit beste Praxis ist TLS v1.3, ein Sprungbrett zu quantensicheren TLS .

Sie können leicht überprüfen, ob Ihre Verbindung sicher ist, indem Sie das TLS überprüfen, das von der Website, auf die Sie zugreifen, ausgestellt wurde. Es empfiehlt sich, nur mit Websites zu interagieren, die über ein gültiges TLS verfügen, da das Fehlen eines solchen auf eine weniger vertrauenswürdige oder unsichere Website hinweisen kann.

Wie kann man also HTTPS überprüfen? Die Überprüfung, ob eine Website mit TLS gesichert ist, ist einfach. Jede Website, die das TLS verwendet, hat den HTTPS-Protokollspezifizierer in ihrer Webadresse. Während HTTP für HyperText Transfer Protocol steht, fügt das S den Sicherheitsteil hinzu, der von TSL bereitgestellt wird. Prüfen Sie also auf diese beiden Dinge, um zu wissen, ob eine Website TLS ist.

Der Name der Website sollte mit HTTPS beginnen, z. B. https://www.yoursitename.com.

Ausführliche Informationen über die Sicherheit der Website erhalten Sie, wenn Sie in der Adressleiste Ihres Browsers auf das Symbol für Website-Informationen/Vorhängeschloss klicken.

Für eine ausführliche Erklärung und ein tieferes Verständnis der TSL, wie sie funktioniert und warum sie so wichtig ist, lesen Sie bitte weiter.

Ein TLS ist ein digitales Zertifikat, das die Authentizität einer Website bestätigt und die verschlüsselte Kommunikation zwischen dem Browser eines Benutzers und dem Server ermöglicht. TLS steht für Transport Layer Security, den modernen Nachfolger von SSL (Secure Sockets Layer), und ist das branchenübliche kryptografische Protokoll zur Sicherung von Daten bei der Übertragung. TLS 1.3, die neueste Version, bietet im Vergleich zu früheren Versionen verbesserte Sicherheit, geringere Latenzzeiten und stärkere Verschlüsselungsalgorithmen.

Ein TLS dient als öffentlicher Schlüssel der Website und wird von einer vertrauenswürdigen Zertifizierungsstelle (CA) ausgestellt. Wenn ein Benutzer eine Verbindung zu einer Website herstellt, prüft sein Browser die Gültigkeit des Zertifikats, um sicher zu sein, dass die Website legitim ist und nicht von einem Betrüger stammt. Der private Schlüssel, der sicher auf dem Server aufbewahrt wird, arbeitet zusammen mit dem öffentlichen Schlüssel, um eine verschlüsselte Sitzung aufzubauen.

TLS 1.3 beseitigt veraltete kryptografische Algorithmen, verbessert die Vorwärtsverschlüsselung und rationalisiert den Handshake-Prozess, wodurch sichere Verbindungen schneller und widerstandsfähiger gegen Angriffe werden. Moderne Webbrowser und Server erzwingen die TLS , so dass alle ausgetauschten Daten vertraulich und vor Lauschangriffen, Man-in-the-Middle-Angriffen und unbefugtem Zugriff geschützt bleiben.

SSL können anhand von zwei Hauptkriterien kategorisiert werden: der Anzahl der gesicherten Domänen und dem Grad der von der Zertifizierungsstelle durchgeführten Validierung.

Basierend auf dem Anwendungsbereich

• Einzel-Domain-Zertifikat: Sicherteinen voll qualifizierten Domain-Namen (FQDN), z. B. www.example.com. Es gilt nicht für Subdomains oder andere Domains.
• Wildcard-Zertifikat: Sicherteine einzelne Domäne und alle ihre Unterdomänen. Ein Wildcard-Zertifikat für *.example.com deckt zum Beispiel blog.example.com, mail.example.com usw. ab.
• Multi-Domain-Zertifikat (SAN-Zertifikat)- Unterstützt mehrere nicht miteinander verbundene Domains mit einem einzigen Zertifikat. Ein einzelnes SAN-Zertifikat kann zum Beispiel example.com, example.net und anotherdomain.org schützen.

Basierend auf der Validierungsstufe

Während alle TLS das gleiche Maß an Verschlüsselung bieten, unterscheidet sich der von der Zertifizierungsstelle durchgeführte Validierungsprozess und wirkt sich direkt auf den Grad des Vertrauens und die im Zertifikat angezeigten Informationen aus.

• Domain Validated (DV)-Zertifikat: DieZertifizierungsstelle prüft, ob der Antragsteller Eigentümer der Domain ist oder diese kontrolliert. Dies ist der einfachste und schnellste Validierungstyp, der in der Regel innerhalb weniger Minuten ausgestellt wird. Es werden keine Unternehmensdetails überprüft oder angezeigt, daher sind DV-Zertifikate besser für persönliche oder interne Websites geeignet als für kommerzielle oder öffentlich zugängliche Unternehmenswebsites.
• Organization Validated (OV)-Zertifikat: DieZertifizierungsstelle verifiziert die Domäne und die rechtliche Existenz der Organisation. Die Details der Organisation sind im Zertifikat enthalten und bieten mehr Glaubwürdigkeit als DV-Zertifikate. OV-Zertifikate werden für kommerzielle Websites und Anwendungen empfohlen, die Benutzerdaten sammeln.
• Extended Validation (EV) Zertifikat - Diesist die höchste Stufe der Zertifikatsvalidierung. Die Zertifizierungsstelle führt eine eingehende Prüfung der Organisation durch, einschließlich der Überprüfung ihrer rechtlichen, physischen und betrieblichen Existenz. Der Antrag muss von der Organisation selbst initiiert werden. EV-Zertifikate unterliegen den EV-Richtlinien des CA/Browser Forum (CABF) aus dem Jahr 2007. Browser zeigen oft verbesserte visuelle Indikatoren (wie den Namen der Organisation) an, wenn EV-Zertifikate verwendet werden, um den Benutzern ein höheres Maß an Vertrauen zu signalisieren.

Wenn Sie sowohl den Geltungsbereich der Domäne als auch die Validierungsstufe kennen, können Sie das richtige Zertifikat auswählen, das dem Zweck Ihrer Website, dem Risikoprofil und den Vertrauensanforderungen der Benutzer entspricht. Höhere Validierungsstufen weisen auf eine größere Glaubwürdigkeit hin, was für Unternehmen, die mit sensiblen Daten oder Finanztransaktionen arbeiten, entscheidend sein kann.

Mit allen modernen Browsern können Sie schnell überprüfen, ob eine Website durch die Verschlüsselung SSL gesichert ist oder nicht. Der einfachste Weg, um festzustellen, ob eine Website SSL verschlüsselt ist oder nicht, ist die Überprüfung ihrer URL. Die URL der Website sollte mit HTTPS beginnen. 

Wenn Sie mehr über die Sicherheitsmerkmale der Website erfahren möchten, klicken Sie auf das Vorhängeschloss-Symbol in der Nähe der Adressleiste, um weitere Informationen über die Details des Zertifikats der Website SSL zu erhalten. 

So, wo findet man SSL Zertifikate auf dem Server? Um detaillierte Informationen über SSL in gängigen Browsern wie Chrome und Firefox anzuzeigen, können Sie die folgenden Schritte ausführen:

• Klicken Sie auf das Vorhängeschloss-Symbol in der Adressleiste des Browsers. So sieht es zum Beispiel für keyfactor.com aus

• Klicken Sie auf das Pop-up-Fenster des Zertifikats und überprüfen Sie die Zertifikatsdetails wie das Ablaufdatum und die Gültigkeitsdauer.

• Bei erweiterten Validierungszertifikaten werden weitere Informationen angezeigt, z. B. die Identifikationsdaten der Organisation. Bei anderen Arten von Zertifikaten werden die Angaben zur Zertifizierungsstelle nur im unteren Teil des Pop-ups angezeigt.
• Um detailliertere Informationen über das SSL zu erhalten, z. B. die Zertifikatshierarchie, klicken Sie auf die entsprechende(n) Registerkarte(n), z. B. "Details".

Wenn Sie eine Website besitzen und Ihr SSL -Zertifikat überprüfen möchten, ist es am einfachsten, in Ihrem Dashboard nach einem genehmigten, von einer CA ausgestellten Zertifikat zu suchen. Wenn Sie mehrere SSL Zertifikate für Ihre Website installiert haben, können Sie diese mit einer der beiden folgenden Methoden ausfindig machen.

SSL oder -Scanner, wie z. B. der von Keyfactorwerden verwendet, um Ihr gesamtes Netzwerk zu scannen und alle Ihre installierten Zertifikate zu finden.

• Sie können auch das Windows Certificate Manager Tool verwenden, wenn Sie die Windows Server-Umgebung nutzen.
• Um die auf Ihrem lokalen Gerät gespeicherten Zertifikate anzuzeigen, starten Sie das Tool Certificate Manager.

Öffnen Sie dazu die Command , geben Sie certlm.msc ein und drücken Sie ENTER.

• Sie können alle auf Ihrem Computer gespeicherten Zertifikate auf der linken Seite anzeigen und das Verzeichnis erweitern, um genauere Informationen zu einem Zertifikat zu erhalten.
• Für Zertifikate, auf die der aktuelle Benutzer Zugriff hat, starten Sie das Certificate Manager Tool durch Eingabe von certmgr.msc in einer Command .

Wenn Sie kein Tool verwenden, können Sie die installierten Zertifikate manuell in den Zertifikatspeichern suchen und finden. Zertifikatspeicher sind Container innerhalb der Serverumgebung, die alle Ihre Zertifikate enthalten. Je nach Art der gespeicherten Zertifikate können Zertifikatspeicher wie folgt klassifiziert werden:

• Persönlich - Diese Speicher enthalten Zertifikate mit privaten Schlüsseln
• Vertrauenswürdige Stammzertifizierungsstellen - Alle Zertifikate von Drittanbietern und von Kundenorganisationen werden hier gespeichert.
• Zwischenzertifizierungsstellen - Dazu gehören die an untergeordnete CAs ausgestellten Zertifikate.

Wenn Sie einen Windows Server verwenden, können Sie mit den folgenden Schritten auf den Zertifikatsspeicher zugreifen:

• Öffnen Sie die MMC (Microsoft Management Console), indem Sie die MMC über eine Command aufrufen.
• Klicken Sie auf Datei, und wählen Sie dann Snap-In hinzufügen/entfernen...
• Es wird eine Liste von Snap-Ins angezeigt. Wählen Sie in der Liste Zertifikate aus und klicken Sie auf Hinzufügen >.

• Wählen Sie Computerkonto und klicken Sie auf Weiter > Fertig stellen. Wenn Sie die mit Ihrer Identität verbundenen Zertifikate anzeigen wollten, hätten Sie stattdessen "Mein Benutzerkonto" ausgewählt.
• Klicken Sie anschließend auf OK, und Sie werden wieder zur Seite mit den Snap-Ins weitergeleitet.

Um ein bestimmtes Zertifikat im MMC-Snap-In anzuzeigen, doppelklicken Sie auf Zertifikate (Lokaler Computer) im linken Bereich und erweitern Sie dann einen Zertifikatsspeicher, um die Zertifikate anzuzeigen, z. B. Persönlich > Zertifikate. Die verfügbaren Zertifikate des ausgewählten Zertifikatspeichers werden im mittleren Bereich des Fensters angezeigt.

Um das Zertifikat anzuzeigen, doppelklicken Sie darauf. Es erscheint ein Zertifikatsfenster, in dem die verschiedenen Eigenschaften des ausgewählten Zertifikats angezeigt werden, z. B. die Gültigkeitsdauer, das Ablaufdatum, der Pfad und alle zugehörigen Details zum privaten Schlüssel.

Alle SSL haben eine begrenzte Gültigkeitsdauer mit einem festgelegten Ablaufdatum. Bei Erreichen des Ablaufdatums wird das Zertifikat als ungültig betrachtet. 

In der Vergangenheit hatten die meisten SSL eine Lebensdauer von einem bis drei Jahren. Heute beträgt die längste zulässige Lebensdauer 397 Tage. Das CA/Browser Forum, ein freiwilliger Zusammenschluss von Zertifikatsausstellern und Anbietern von software und anderen Anwendungen, die Zertifikate verwenden (Zertifikatsnutzer), hat jedoch offiziell eine Abstimmung verabschiedet, um Änderung der TLS s verabschiedet, um die maximale Lebensdauer auf nur 47 Tage zu reduzieren, was die breitere Verlagerung der Branche hin zu einer flexibleren Zertifikatsverwaltung als Kernelement des täglichen PKI-Betriebs widerspiegelt.

In den meisten Fällen wird ein Zertifikat ersetzt, wenn es sich seinem Ablaufdatum nähert. Bestimmte Umstände wie die Heartbleed-Schwachstelle, die Veraltung von SHA-1, Unternehmensfusionen oder Änderungen der Sicherheitsrichtlinien können jedoch eine frühere Neuausstellung von Zertifikaten erforderlich machen. Da die Lebensdauer von Zertifikaten immer kürzer wird, müssen Unternehmen automatisiertere, flexiblere Ansätze anwenden, um PKI in großem Umfang zu verwalten und Serviceunterbrechungen zu vermeiden. 

Unter zu überprüfen, ob ein SSL installiert istkönnen Sie das Tool Certificate Manager verwenden und die Gültigkeitsdauer überprüfen. Eine andere Möglichkeit ist die Verwendung des Tools sigcheck Windows Sysinternals Dienstprogramm zur TLS zu überprüfen. Laden Sie das Dienstprogramm herunter und führen Sie es mit dem command switch aus sigcheck -tv. Es listet alle vertrauenswürdigen Microsoft Root-Zertifikatslisten auf.

Bevor Sie ein SSL -Zertifikat installieren, müssen Sie sicherstellen, dass Sie über gültige, von einer Zertifizierungsstelle ausgestellte Zertifikate verfügen. Zu diesem Zweck müssen Sie eine CSR erstellen. CSR steht für Antrag auf Unterzeichnung eines ZertifikatsDamit stellen Sie einen Antrag auf ein SSL Zertifikat von einer Zertifizierungsstelle.

Ein CSR besteht aus einem öffentlichen Schlüssel und anderen Angaben, die zur Überprüfung Ihrer Identität erforderlich sind. Sie müssen Informationen wie den Distinguished Name (DN), den Common Name (CN) und den vollqualifizierten Domänennamen (FQDN) für Ihre Website, die das Zertifikat benötigt, angeben. 

Erstellen einer CSR mit Open SSL (plattformübergreifend):

• Führen Sie die folgende command in Ihrem Terminal aus

openssl req -out testsite.csr -new -newkey rsa:2048 -nodes -keyout testsite.key

• Möglicherweise werden Sie nach einem optionalen Kennwort gefragt, und Sie können ein Kennwort zum Schutz Ihres privaten Schlüssels angeben. Diese command erstellt einen CSR mit dem Namen testsite.csr und einen 2048-Bit-Schlüssel mit dem Namen testsite.key. 

Erstellen einer CSR mit certreq unter Windows:

Wenn Sie eine Windows-Umgebung verwenden, können Sie eine CSR mit dem integrierten certreq-Tool erstellen: 

• Erstellen Sie eine INF-Datei mit folgendem Inhalt

[Version]

Signatur="$Windows NT$"

[NewRequest]

Betreff = "CN=www.yourdomain.com, O=Ihre Organisation, L=Stadt, S=Bundesland, C=Land"

SchlüsselSpec = 1

Schlüssellänge = 2048

Exportierbar = TRUE

MachineKeySet = TRUE

SMIME = FALSE

PrivateKeyArchive = FALSE

UserProtected = FALSE

UseExistingKeySet = FALSE

AnbieterName = "Microsoft RSA SChannel Cryptographic Provider"

AnbieterTyp = 12

AnfrageTyp = PKCS10

KeyUsage = 0xa0

[Erweiterungen]

2.5.29.17 = "{Text}"

_fortsetzen_ = "dns"

_continue_ = "dns.com"

• Führen Sie den folgenden command in einer Command aus:

certreq -new anfrage.inf anfrage.csr

Dadurch wird request.csr erzeugt. Sie können diese CSR nun einreichen, um signierte Zertifikatsdateien von einer gültigen Zertifizierungsstelle anzufordern. Nach der erforderlichen Validierung der Domäne und des Unternehmens stellt Ihnen die Zertifizierungsstelle drei Dateien zur Verfügung: den privaten Schlüssel, die Zertifikatsdatei und die Zwischenzertifikatsdatei, die Sie zur Installation von SSL auf Ihrem Server verwenden können. Die Dateien können auch in einer einzigen PKCS#12-Datei zusammengefasst werden .pfx Datei zusammengefasst werden, in der ein Passwort für die Installation enthalten ist.

CA-signierte Zertifikate sind der empfohlene und vertrauenswürdige Weg, um SSL zu implementieren, aber Sie können bei Bedarf auch selbst signierte Zertifikate verwenden. Dies führt jedoch zu Warnmeldungen in den Browsern, da es nicht als von einer vertrauenswürdigen Quelle stammend angesehen wird. 

Verwenden Sie selbstsignierte Zertifikate, wenn Sie nicht mit sensiblen Daten arbeiten oder wenn Ihr Zielpublikum eine geschlossene Gruppe ist. Wenn Sie eine E-Commerce-Website betreiben oder ein hohes Verkehrsaufkommen haben, sind CA-signierte Zertifikate die beste Wahl.

• Um ein selbstsigniertes SSL -Zertifikat zu erstellen, können Sie die folgende command in Ihrer Serverumgebung ausführen:

openssl x509 -signkey testsite.key -in testsite.csr -req -days 365 -out testsite.crt

• Diese command generiert eine Zertifikatsdatei mit dem Namen testsite.com.crt aus der eingegebenen CSR-Datei. 

Wenn Sie eine Linux-Serverumgebung verwenden, hängt die Installation eines SSL sowohl vom Betriebssystem als auch vom verwendeten Server ab.

Apache-Webserver

Nachdem Sie Ihre Zertifikatsdateien von der Zertifizierungsstelle (CA) erhalten haben, sollten Sie diese haben:

• Eine Zertifikatsdatei (z. B. ServerCertificate.crt)
• Eine private Schlüsseldatei (z. B. yoursite.key)
• Eine Zertifikatskette oder Bündeldatei (z. B. ChainBundle.crt)

Der Speicherort Ihrer Apache-Konfigurationsdateien kann je nach Distribution variieren:

• Ubuntu/Debian: 

/etc/apache2/apache2.conf oder ssl.conf

• Red Hat/Alma Linux/CentOS

/etc/httpd/conf/httpd.conf oder /etc/httpd/conf.ssl.conf

You can include your certificate entries in the relevant <VirtualHost*:443> block:

<VirtualHost *:443>

    DokumentRoot /var/www/html

    ServerName testcertificates.com

    SSLEngine EIN

    SSLCertificateFile /etc/apache/ssl.crt/ServerCertificate.crt

    SSLCertificateKeyFile /etc/apache/key.crt/yoursite.key

    SSLCertificateChainFile ssl.crt/ChainBundle.crt

</VirtualHost>

Um die Konfiguration zu überprüfen:

sudo apachectl configtest

Starten Sie dann den Apache neu:

Ubuntu: sudo systemctl restart apache2

RHEL/Alma Linux: sudo systemctl restart httpd

Für NGINX-Webserver

Wenn Sie NGINX verwenden (aus Leistungsgründen bei vielen Linux-Distributionen üblich), unterscheidet sich der Vorgang geringfügig. Bei NGINX müssen das Zertifikat und die Kette in einer Datei kombiniert werden:

• Kombinieren Sie Ihr Zertifikat und das CA-Bündel:

cat ServerCertificate.crt ChainBundle.crt > fullchain.pem

• Ändern Sie Ihren NGINX-Serverblock:

Server {

    443 ssl abhören;

    server_name testcertificates.com;

    sslssl.pem;

    sslssl.key;

    root /var/www/html;

}

• Testen Sie die Konfiguration:

sudo nginx -t

• Starten Sie NGINX neu:

sudo systemctl neu starten nginx

Überprüfung

Sobald der Server neu gestartet ist, testen Sie Ihre SSL , indem Sie Ihre Website in mehreren Browsern aufrufen und auf das HTTPS-Schloss-Symbol achten. Wenn Probleme auftreten, überprüfen Sie, ob die Zertifikatsdateien mit dem privaten Schlüssel und der Domain übereinstimmen, und wenden Sie sich bei Bedarf an Ihre Zertifizierungsstelle.

Im Folgenden werden die Schritte zur Installation von SSL in einem Windows Server 2022 mit Microsoft IIS 10 beschrieben.

• Halten Sie Ihr Zertifikat, Ihren privaten Schlüssel und Ihre Zertifikatskette oder Bündeldateien bereit. Sie erhalten sie von der Zertifizierungsstelle für Ihren Bereich. Wenn möglich, erhalten Sie diese als eine einzige PKCS#12 .pfx-Datei, um den Import zu erleichtern. Vergewissern Sie sich nur, dass Sie das entsprechende Passwort für die Installation haben. Bei Bedarf können Sie OpenSSL verwenden, um die Dateien mit dem folgenden command in diesem Format zu kombinieren:

openssl pkcs12 -export -out combined.pfx -inkey yoursite.key -in ServerCertificate.crt -certfile ChainBundle.crt

• Starten Sie den IIS-Manager, indem Sie auf die Schaltfläche Start klicken, iis eingeben und Internet Information Services (IIS) Manager auswählen. Sie können auch die Windows-Taste + R drücken, inetmgr eingeben und auf OK klicken. Doppelklicken Sie in der Menüstruktur Verbindungen auf der linken Seite auf den Servernamen unter Startseite.
• Doppelklicken Sie auf der Startseite des Servernamens im mittleren Bereich unter dem Abschnitt IIS auf Serverzertifikate.

• Unter den Aktionen im rechten Fensterbereich auf Importieren....

• Durchsuchen Sie die .pfx-Datei Ihres Zertifikats und laden Sie sie hoch. Geben Sie das Passwort ein und ändern Sie den Zertifikatspeicher von Persönlich auf Webhosting , wenn Sie mehr als 30 verschiedene Zertifikate laden möchten. Deaktivieren Sie das Kontrollkästchen, wenn Sie nicht möchten, dass das Zertifikat zusammen mit dem privaten Schlüssel aus dem Zertifikatsspeicher exportiert wird. Klicken Sie auf OK, um das SSL zu speichern. Es sollte nun in der Liste der Serverzertifikate verfügbar sein.
• Um das installierte Zertifikat an Ihre Website zu binden, doppelklicken Sie in der Menüstruktur Verbindungen aufSites unter dem Servernamen. Doppelklicken Sie auf der Seite Sites Home im mittleren Bereich auf die Site, an die Sie das SSL binden möchten.
• Klicken Sie im rechten Fensterbereich im Menü Aktionen auf Bindungen... und wählen Sie dann im Fenster Site Bindings die Schaltfläche Add... aus.
• Definieren Sie die folgenden Begriffe::
  • Typ - HTTPS
  • IP-Adresse - Alle nicht zugewiesenen oder wählen Sie aus den verfügbaren IP-Adressen diejenige aus, die korrekt auf den Standort zutrifft
  • Port als 443 (Standard) oder auf den Port, auf den Ihr SSL -Datenverkehr hört
  • SSL - der freundliche Name des gerade installierten SSL
•  Klicken Sie auf Anzeigen , um die Details zu überprüfen, und dann auf OK , um die Bindung zu beenden.

Wie bereits erwähnt, ist jedes SSL Zertifikat mit einem Ablaufdatum versehen, nach dem die Browser beim Zugriff auf die Website Warnmeldungen anzeigen. Ein abgelaufenes SSL Zertifikat ist eine Sicherheitslücke, um die Sie sich rechtzeitig kümmern müssen. Um die Sicherheitskomplikationen und die möglicherweise niedrige Vertrauenswürdigkeit eines abgelaufenen SSL Zertifikats zu vermeiden, müssen Sie es rechtzeitig erneuern.

Das Verfahren ist ähnlich wie bei der Ausstellung eines neuen SSL Zertifikats. 

• Erzeugen einer CSR (Certificate Signing Request)
• Wählen Sie Ihr SSL Zertifikat aus und geben Sie die erforderlichen Details wie die gewünschte Gültigkeitsdauer und andere Details ein und senden Sie es an die CA. 
• Sie erhalten dann neue Zertifikatsdateien, die Sie auf Ihrem Server verwenden können. 
• Für die Erneuerung von SSL Zertifikaten müssen Sie dieselben Verfahren durchlaufen, die Sie für die Beantragung eines neuen SSL Zertifikats durchgeführt haben. Dabei kann es sich um eine Domänenvalidierung, eine Organisationsvalidierung und andere Überprüfungen handeln, die für die Zertifikatsstufe, die Sie bei der CA beantragen, erforderlich sind.

• Starten Sie den IIS-Manager, indem Sie auf die Schaltfläche Start klicken, iis eingeben und Internet Information Services (IIS) Manager auswählen. Sie können auch die Windows-Taste + R drücken, inetmgr eingeben und auf OK klicken.
• Doppelklicken Sie in der Menüstruktur Verbindungen im linken Bereich auf den Servernamen unter Startseite.
• Doppelklicken Sie auf der Startseite des Servernamens im mittleren Bereich unter dem Abschnitt IIS auf Serverzertifikate.

Klicken Sie im Menü " Aktionen" auf der rechten Seite auf Selbstsigniertes Zertifikat erstellen...

• Definieren Sie einen benutzerfreundlichen Namen und ändern Sie den Zertifikatsspeicher von Persönlich in Webhosting , wenn Sie mehr als 30 verschiedene Zertifikate laden möchten. Klicken Sie auf OK.
• Mit diesen Schritten wird ein selbstsigniertes Zertifikat erstellt, das ein Jahr lang gültig ist und das Sie in der Liste der Serverzertifikate finden können . Nun können Sie das Zertifikat wie in den vorherigen Schritten beschrieben an Ihre Website binden.
• Als letzten Schritt fügen Sie Ihr selbstsigniertes Zertifikat zu Ihrem Vertrauenswürdige Root-Zertifizierungsstellen.
  • Öffnen Sie die MMC (Microsoft Management Console), indem Sie die MMC über eine Command aufrufen.
  • Klicken Sie auf Datei und wählen Sie dann Snap-In hinzufügen/entfernen...
  • Es wird eine Liste von Snap-Ins angezeigt. Wählen Sie in der Liste Zertifikate aus und klicken Sie auf Hinzufügen >.
  • Wählen Sie Computerkonto, und klicken Sie auf Weiter > Fertig stellen.
  • Klicken Sie auf OK, und Sie werden wieder zur Seite mit den Snap-Ins zurückgeleitet.
  • Doppelklicken Sie im linken Fensterbereich auf Zertifikate (Lokaler Computer). Doppelklicken Sie auf den Zertifikatspeicher und erweitern Sie ihn, um das selbstsignierte Zertifikat anzuzeigen, das soeben über Personal > Zertifikate erstellt wurde. Kopieren Sie das selbstsignierte Zertifikat in den Ordner Trusted Root Certification Authorities > Certificates .

Wie bereits erwähnt, haben alle SSL Zertifikate ein Verfallsdatum, nach dem sie als ungültig gelten und die Browser Sicherheitswarnungen ausgeben. Sie können Ihre SSL Zertifikate erneuern oder sie entfernen und Ihre Website als normale HTTP-Website ohne die zusätzliche Sicherheitsschicht betreiben.

Hier sind die Schritte zum Entfernen eines abgelaufenen digitalen Zertifikats in Windows-Systemen:

• Starten Sie die MMC-Anwendung, indem Sie Start > Ausführen > MMC und dann das Snap-In > Zertifikate auswählen
• Wählen Sie den lokalen Computer und erweitern Sie den Ordner " Zertifikate" unter " Persönliches Verzeichnis
• Auf der rechten Seite wird eine Liste der Zertifikate angezeigt. Klicken Sie mit der rechten Maustaste auf das Zertifikat, das Sie entfernen möchten, und wählen Sie Löschen.

In Linux-Ubuntu-Systemen können Sie diese Schritte ausprobieren oder ein beliebiges Tool wie das cPanel verwenden, um Ihre Serverzertifikate zu verwalten.

• Öffnen Sie das Terminal und führen Sie den folgenden command aus

sudo dpkg-reconfigure ca-certificates

• Es wird eine Liste aller Zertifikate angezeigt, aus der Sie die Auswahl der CAs aufheben können.
• Alternativ können Sie die in der Datei /etc/ca-certificates.cong gespeicherten CA-Dateilisten bearbeiten und die folgende command ausführen, um die Änderungen zu aktualisieren

sudo update-ca-zertifikate

Wenn Sie dpkg-reconfigure ausführen, werden auch die Zertifikate automatisch zurückgesetzt.

Ein SSL ist ein digitaler Ausweis, der von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt wird und signalisiert, dass die Website legitim und sicher ist. Es ermöglicht eine verschlüsselte Kommunikation zwischen Ihrem Browser und dem Server und schützt sensible Daten - wie Passwörter, persönliche Informationen und Zahlungsdetails - vor Abhören und Manipulationen.

Herkömmliche TLS

Wenn Sie eine Website besuchen, sendet Ihr Browser eine Anfrage an den Webserver. Der Server verarbeitet diese Anfrage und gibt die entsprechende Antwort zurück. Diese Interaktion mag zwar einfach erscheinen, ist aber anfällig für Man-in-the-Middle-Angriffe (MITM), wenn sie nicht ordnungsgemäß gesichert ist. Ein böswilliger Akteur könnte die Daten während der Übertragung abfangen und vertrauliche Informationen auslesen.

Wenn Sie sich beispielsweise bei Ihrem Online-Banking-Portal anmelden und jemand diesen Datenverkehr abfängt, können Ihre Anmeldedaten offengelegt werden, was zu Identitätsdiebstahl oder finanziellen Verlusten führen kann.

TLS verhindert dies, indem die Daten verschlüsselt werden. Selbst wenn ein Angreifer den Datenverkehr abfängt, erscheint der verschlüsselte Inhalt als unverständliches Kauderwelsch, es sei denn, er verfügt über den richtigen Entschlüsselungsschlüssel.

SSL verwendet eine asymmetrische Verschlüsselung während der ersten Verbindung mit einem öffentlich-privaten Schlüsselpaar:

• Der Server besitzt den privaten Schlüssel.
• Der Client (Browser) erhält den öffentlichen Schlüssel, den er zur Verschlüsselung der Daten verwendet.
• Nur der Server kann die Daten mit seinem privaten Schlüssel entschlüsseln.

Dieser Vorgang wird als TLS bezeichnet und umfasst Folgendes:

• Schlüsselvereinbarung und -austausch (Erstellung von Sitzungsschlüsseln für die symmetrische Verschlüsselung)
• Datenverschlüsselung (mit Sitzungsschlüsseln)
• Server-Authentifizierung (Überprüfung der Identität des Servers und der Integrität der Daten)

Die Zukunft der Verschlüsselung: Vorbereitungen für Post-Quantum

Während die derzeitigen TLS gegen klassische Computer sicher sind, sind sie nicht dafür ausgelegt, Angriffen von Quantencomputern standzuhalten. Ein ausreichend leistungsfähiger Quantencomputer könnte herkömmliche Verschlüsselungsalgorithmen brechen, insbesondere diejenigen, die beim Schlüsselaustausch während des TLS verwendet werden.

Dies hat zu einer wachsenden Besorgnis über HNDL-Angriffe (Harvest Now, Decrypt Later) geführt, bei denen Angreifer den verschlüsselten Datenverkehr heute aufzeichnen, um ihn in der Zukunft zu entschlüsseln, sobald Quantenkapazitäten zur Verfügung stehen, so dass die aktuellen Daten für die eindringende Technologie anfällig sind.

Um sich gegen diese Bedrohung zu schützen, geht die Branche zur Post-Quantum-Kryptographie (PQC) über. In künftigen Versionen von TLS wird der Handshake-Prozess traditionelle Schlüsselaustauschalgorithmen wie RSA durch Schlüsselkapselungsmechanismen (KEMs) ersetzen. KEMs sind kryptografische Primitive, die als Teil der neuen Standards, die von Organisationen wie dem NIST und der IETF entwickelt werden, quantenresistent sein sollen.

Die Migration zu PQC-kompatiblen Zertifikaten und Infrastrukturen ist entscheidend für die langfristige Vertraulichkeit von Daten. Da quantensichere Algorithmen fertiggestellt und in Protokolle wie TLS 1.3 und darüber hinaus integriert werden, müssen Unternehmen ihre Systeme proaktiv aktualisieren, um PQC neben klassischen Algorithmen in einem hybriden Modell einzubinden, das sowohl sofortigen Schutz als auch zukünftige Ausfallsicherheit bietet.

Transport Layer SecurityTLS) ist der moderne Standard für die Sicherung von Datenübertragungen über das Internet. TLS wird zwar oft neben SSL erwähnt, ist aber nicht nur eine neuere Version, sondern ein sichereres, effizienteres und aktiv gepflegtes Protokoll, das SSL in der Praxis vollständig ersetzt hat.

Ursprünglich von Netscape im Jahr 1994 entwickelt, legte SSL den Grundstein für die verschlüsselte Webkommunikation. Aufgrund schwerwiegender Sicherheitslücken und Einschränkungen wurde SSL jedoch veraltet. Die letzte Version, SSL 3.0, wurde offiziell aus dem Verkehr gezogen, und 1999 wurde TLS als sein Nachfolger eingeführt. Seitdem hat TLS mehrere Verbesserungen erfahren, wobei die neueste VersionTLS 1.3) 2018 veröffentlicht wurde.

Obwohl die Begriffe SSL und TLS in der Umgangssprache und bei Produktbezeichnungen immer noch synonym verwendet werden, ist TLS das heute tatsächlich verwendete Protokoll.

Hauptunterschiede zwischen SSL und TLS

Beide Protokolle zielen auf eine sichere, authentifizierte Kommunikation ab, wobei TLS SSL in einigen wichtigen Punkten übertrifft:

• ChiffriersuitenTLS TLSunterstützt stärkere, modernere Verschlüsselungsalgorithmen wie AES und ChaCha20, was die Sicherheit und Leistung verbessert.
• WarnmeldungenTLS TLSbietet detailliertere und spezifischere Fehlermeldungen, die die Fehlersuche und -behebung im Vergleich zu den allgemeinen Warnmeldungen von SSLverbessern.
• RecordTLS verwendet HMAC (Hash-Based Message Authentication Code) für die Datenintegrität, was sicherer ist als das von SSL verwendete MAC-Basisformat.
• Handshake-ProzessTLS TLSverfeinert den Handshake-Mechanismus, um Geschwindigkeit und Sicherheit zu verbessern. Im Gegensatz zu SSL werden bei TLS Hashes über die Handshake-Nachrichten selbst berechnet, was eine bessere Authentifizierung ermöglicht.
• NachrichtenauthentifizierungTLS TLSsetzt auf eine Hash-basierte Authentifizierung mit HMAC, während SSL weniger robuste Techniken mit Schlüsseldaten verwendet.

Warum TLS heute wichtig ist

Alle modernen Browser, APIs und Internet-Dienste verwenden TLS und nicht SSL. Die wichtigsten Normungsgremien und Browserhersteller haben die SSL aufgrund der Sicherheitslücken vollständig eingestellt.

Wenn Sie eine sichere Kommunikation implementieren - sei es für eine Website, einen E-Mail-Server oder einen Cloud-Dienst - sollten Sie immer TLS verwenden. Wenn Sie weiterhin auf SSL verweisen, ist dies größtenteils eine Frage der alten Namensgebung und nicht der besten Praxis.

Da sich das Internet weiterentwickelt, um mit neuen Bedrohungen, einschließlich Quantencomputern, fertig zu werden, wird sich TLS weiter anpassen und Post-Quantum-Kryptografie und effizientere Handshake-Mechanismen einbeziehen. Wie bereits erwähnt, haben die wichtigsten Normungsgremien und Browser-Anbieter SSL vollständig abgeschafft, so dass es ein Protokoll der Vergangenheit ist.

Die TLS werden ständig verbessert, um bekannte Schwachstellen zu beseitigen und die allgemeine Sicherheit zu erhöhen. TLS 1.3, die neueste und sicherste Version, beseitigt nicht nur veraltete kryptografische Algorithmen, sondern legt auch den Grundstein für die Integration der Post-Quantum-Kryptografie in naher Zukunft. Die weitere Verwendung älterer Versionen wie SSL 2.0, SSL 3.0 oder sogar TLS 1.0 und 1.1 birgt ernsthafte Sicherheitsrisiken, da diese Protokolle nicht mehr als sicher gegenüber modernen Bedrohungen gelten.

Um eine starke Verschlüsselung und einen langfristigen Datenschutz zu gewährleisten, sollten Sie alle älteren SSL und TLS deaktivieren und nach Möglichkeit TLS 1.3 verwenden:

Deaktivierung älterer SSL Versionen im Apache Server

Ändern Sie die Konfigurationseinstellungen Ihres Apache-Servers. Die Konfigurationsdatei kann sich an verschiedenen Stellen befinden, wie unten aufgeführt. Suchen Sie:

• Ubuntu/Debian: /etc/apache2/apache2.conf
• In virtuellen Hostsystemen von Debian/Ubuntu :/etc/apache2/sites-enabled/
• Im virtuellen Host Red Hat/CentOS: /etc/httpd/sites-enabled/
• CentOS/Redhat-Systeme : /etc/httpd/conf/httpd.conf

Sobald Sie die Datei gefunden haben, suchen Sie nach dem Eintrag "SSLProtocol" und ändern ihn in

SSLProtokoll alle -SSLv2 -SSLv3 -TLSv1 -TLSv1.1

• Starten Sie den Apache-Server neu
• service httpd restart oder
• Dienst apache2 neu starten

Ändern Sie auch bei Nginx- oder TOMCAT-Servern die Konfigurationsdatei. Ändern Sie den Eintrag ssl_protocols auf die neueste Version von TLS und starten Sie den Server neu.

Um die älteren SSL Versionen in Windows zu deaktivieren, können Sie entweder ein Tool wie das IIS-Krypto-Tool verwenden, um die SSL Versionen über eine GUI-Anwendung zu ändern. Um das Gleiche manuell zu tun, führen Sie die folgenden Schritte aus

Öffnen Sie den Registrierungseditor mit Start > Ausführen > regedit

Suchen Sie den folgenden Registrierungsschlüssel/Ordner:

• Wenn Sie SSL 2.0 aufgelistet haben, klicken Sie mit der rechten Maustaste darauf, wählen Sie Neu-> Schlüssel und erstellen Sie einen neuen Ordner mit dem Namen Server.
• Klicken Sie im Ordner Server auf Bearbeiten > Neu > DWORD (32-Bit-Wert)
• Geben Sie Aktiviert ein und drücken Sie die Eingabetaste. Die Datenspalte sollte den Wert 0 haben, wenn nicht, klicken Sie mit der rechten Maustaste und setzen Sie ihn auf Null.

Wiederholen Sie die Schritte, um SSL3.0 zu deaktivieren, und starten Sie Ihren Computer neu, um die Änderungen zu übernehmen.

Die Automatisierung der Verwaltung von TLS ist für die Aufrechterhaltung einer sicheren und zuverlässigen Online-Präsenz unerlässlich. Nutzen Sie die Automatisierung, um alle Ihre digitalen Zertifikate effizient zu überwachen und zu aktualisieren:

• Reduzierung manueller Fehler und des Arbeitsaufwands, wodurch die Fehlerwahrscheinlichkeit sinkt und wertvolle IT-Ressourcen frei werden.
• Verhindern Sie kostspielige TLS und vermeiden Sie die Fallstricke von Ausfallzeiten.
• Halten Sie sich mühelos an die neuesten Sicherheitsprotokolle und bleiben Sie auf dem neuesten Stand der aktuellen Standards.

Eine Schlüsselkomponente für die effektive Automatisierung von Zertifikaten ist das Protokoll Automated Certificate Management Environment (ACME). ACME erleichtert die automatische Ausstellung, Erneuerung und den Widerruf von Zertifikaten, indem es die Interaktionen zwischen Ihrem Webserver und den Zertifizierungsstellen (CAs) rationalisiert. Ursprünglich für Let's Encrypt entwickelt, wird ACME inzwischen von vielen CAs und PKI-Anbietern unterstützt. Die Implementierung von ACME kann die Fähigkeit Ihres Unternehmens, Zertifikate effizient und sicher zu verwalten, erheblich verbessern. Mehr über ACME erfahren Sie in unserer Schritt-für-Schritt-Anleitung hier.

Wie Sie sehen, ist es unerlässlich, ein TLS zu überprüfen, sicherzustellen, dass es verifiziert ist, und es zu entfernen, wenn es das Ablaufdatum überschritten hat. Der damit verbundene Prozess ist jedoch umständlich und erfordert technisches Know-how. Jetzt nicht mehr. Die Zertifikatsmanagement- und Automatisierungslösungen von Keyfactorhelfen Ihnen dabei.

Kontaktieren Sie uns, um mehr zu erfahren und die nützlichen Funktionen von Keyfactor kennenzulernen.