Digitale Zertifikate: Wie der Warenkorb sicher zur Kasse kommt

Es besteht ein Problem mit dem Sicherheitszertifikat der Website. Sobald ein Kunde diese Warnmeldung bei einer Online-Bestellung sieht, schrillen alle Alarmglocken und er bricht den Kauf ab. Was professionelle Webshops brauchen, sind digitale Zertifikate von einer seriösen Stelle, die regelmäßig erneuert werden.

Wie der Warenkorb sicher zur Kasse kommt

Von Sabine Philipp

„Es besteht ein Problem mit dem Sicherheitszertifikat der Website.“ Sobald ein Kunde diese Warnmeldung bei einer Online-Bestellung sieht, schrillen alle Alarmglocken und er bricht den Kauf ab. Was professionelle Webshops brauchen, sind digitale Zertifikate von einer seriösen Stelle, die regelmäßig erneuert werden.

Jeder weiß, dass man Kreditkartennummer & Co. nicht ungeschützt im Internet eingeben soll. Sonst ist man leichte Beute für Kriminelle. Sicherheit verspricht eine SSL-Verschlüsselung. Man erkennt sie am Kürzel HTTPS vor dem WWW der Web-Adresse. HTTPS ist ein Protokoll, das regelt, wie die Daten übertragen werden. Theoretisch ist es dasselbe wie das Hypertext Transfer Protocol (HTTP); das zusätzliche S steht für Secure.

Wirklich sicher ist es aber nur, wenn die Daten an den Adressaten gegeben werden, für den sie bestimmt sind. Denn es gibt immer mehr Gaunerfirmen, die sich für ein fremdes Unternehmen ausgeben und fleißig Kontodaten sammeln. Hier setzt die Public-Key-Infrastruktur (PKI) mit den digitalen Zertifikaten an. Im Grunde erklärt hier eine vertrauenswürdigen Instanz, dass Sie derjenige sind, für den Sie sich im Netzwerk ausgeben. Das Ganze geht freilich verschlüsselt vor sich. Der wichtigste Standard für diese Zertifikate ist derzeit X.509.

Mit dem Zertifikat bekommen Sie einen geheimen und öffentlichen Schlüssel. Mit Letzterem bezeugen Sie nicht nur Ihre Identität. Er verschlüsselt auch die Daten Ihrer Kunden. Mit dem privaten Schlüssel, den nur Sie kennen, werden sie wieder entschlüsselt.

Belege für den Identitätsnachweis

Damit sich nicht jeder für Sie ausgeben kann, müssen Sie dem Zertifikataussteller natürlich beweisen, dass Sie derjenige, welcher sind. Dazu kann er Ausweis, Gründungsurkunden etc. verlangen. Manchmal wird ein Rechtsgutachten fällig, bei dem Ihre Identität bestätig wird. Wie rasch Sie Ihr Zertifikat erhalten, hängt letztlich davon ab, wie aussagekräftig Ihre Dokumente sind.

Qualifizierte Aussteller wählen

Digitale Zertifikate werden von verschiedenen Unternehmen angeboten. Am bekanntesten sind VeriSign, GeoTrust, Thawte und GlobalSign. Eine Reihe sehr guter Zertifizierer sind auch schon in Ihrem Browser vorinstalliert. Bei Firefox finden Sie sie unter Werkzeuge / Optionen / Erweitert / Zertifikate / Zertifikate verwalten, beim Internet Explorer unter Extras / Internetoptionen / Inhalte / Zertifikate. Dort sind unter anderem Zwischenzertifizierungsstellen und vertrauenswürdige Stammzertifizierungsstellen eingetragen.

Zertifikat-Alert.jpg
Online-Shops mit dubiosen Zertifikaten produzieren beim Kunden beunruhigende Warnmeldungen.

Was aber sind das für Stellen? Um das zu verstehen, muss man sich die Hierarchie der Zertifikate ansehen: Es gibt nämlich eine ganze Reihe von Instanzen, die für die jeweils niedrigere ein Zertifikat ausstellen. Ganz oben stehen Wurzelinstanzen wie z.B. die Deutsche Telekom. Deren Zertifikate müssen nicht überprüft werden.

Ein kommerzielles Zertifikat kann pro Jahr mehrere hundert Euro kosten. Falls Sie einen günstigeren Anbieter im Visier haben, der nicht eingetragen ist, können Sie durch Referenzen bereits vertrauenswürdiger Instanzen checken, ob er gut ist.

Bei Missbrauch die Notbremse ziehen

Natürlich können auch geheime Schlüssel ausspioniert werden. Und wenn Sie für Ihre IT-Sicherheit nicht alles tun, damit der Schaden so gering wie möglich bleibt, kann das teuer werden. Daher sollten Sie das Zertifikat schon beim geringsten Verdacht unverzüglich sperren lassen. Manchmal reicht es, die Seriennummer des Zertifikats auf einer bestimmte Webseite einzutragen. Dadurch wird es auf die Certificate Revocation List (CRL) gesetzt, eine Sperrliste.

Fazit: Erneuern ohne Leerlaufzeiten

Die Zertifikate gelten nicht für alle Ewigkeit. Meist müssen sie nach drei oder fünf Jahren erneuert werden. Klären Sie am besten zeitig, welchen Vorlauf die Erneuerung bzw. Ausstellung eines neuen Zertifikats erfordert. Lassen Sie sich rechtzeitig daran erinnern oder legen es auf Vorablage. Denn wenn Sie nicht schnell genug aktiv werden, heißt es für Ihre Kunden Das Sicherheitszertifikat dieser Website ist entweder abgelaufen oder noch nicht gültig. Und das macht ebenso misstrauisch.

Nützliche Links