Kostenlose SSL-Zertifikate: Anbieter, Vor- und Nachteile

Betrugsfälle im Internet und insbesondere gehackte Webseiten nehmen seit Jahren stetig zu. SSL-Zertifikate garantieren die Integrität einer Website und sorgen für eine verschlüsselte Kommunikation. Wer eins benötigt, muss nicht zwingend zahlen: Dienstleister wie Let’s Encrypt und Cloudflare stellen kostenlose SSL-Zertifikate zur Verfügung, die alle Sicherheitsanforderungen erfüllen. Welche Vor- und Nachteile sie aufweisen und wie Sie eins bekommen, erfahren Sie in unserem Artikel.

SSL ist die Abkürzung für Secure Sockets Layer. Sie steht für ein Protokoll, das innerhalb des Internetprotokolls TCP/IP eine zusätzliche Schicht hinzufügt und Daten verschlüsselt. Damit kommunizieren Client (beispielsweise der Besucher einer Webseite) und Server, ohne dass Dritte ihre Daten abfangen können. Der genaue Name des Protokolls lautet SSL/TLS. In der Tat hat das TLS-Protokoll bereits 1999 das alte SSL-Protokoll ersetzt. Da der Begriff SSL sich jedoch bereits in Fachkreisen etabliert hatte, blieb er bestehen.

Ein SSL-Zertifikat ist eine Datei, die eine Webseite wie eine Art Personalausweis identifiziert. Hat diese ihre Echtheit bestätigt, kommt die verschlüsselte Verbindung mit dem SSL-Protokoll zustande. Für Online-Shops und Anwendungen, die sensible Daten empfangen und senden, sind SSL-Zertifikate deshalb unverzichtbar. Seit dem 25.5.2018 müssen in der EU wegen des Inkrafttretens der Datenschutz-Grundverordnung persönliche Daten zudem ohnehin verschlüsselt übertragen werden.

Hauptzweck eines SSL-Zertifikats ist die Authentifizierung der Webseite. Dafür enthält es folgende Daten:

• Domain-Name der Webseite, für die das Zertifikat erstellt wurde, und wer sich hinter dem Namen verbirgt.
• Namen und digitale Signatur der Organisation, die das Zertifikat erstellt hat.
• Ausstellungs- und Verfalldatum des Zertifikats. Seit September 2020 beträgt die maximale Gültigkeitsdauer 13 Monate.
• Public Key, der zur Webseite gehört, damit eine asymmetrisch verschlüsselte Verbindung (Public-Private-Key Verschlüsselung) aufgebaut werden kann.
• Je nach Art des SSL-Zertifikats auch mit der Hauptdomain verknüpfte Subdomains und Informationen über das Unternehmen, dem die Webseite gehört.

Tippen Sie eine HTTPS-Adresse in die Browserleiste ein, geschieht Folgendes:

• Der Server zeigt dem Client (Ihrem Rechner) sein Zertifikat. Ist der Herausgeber in der Liste der vertrauenswürdigen Herausgeber enthalten, ist die Integrität der Webseite bewiesen.
• Der Client erhält den öffentlichen Schlüssel des Servers. Der private Schlüssel bleibt dagegen beim Server.
• Mit dem öffentlichen und dem privaten Schlüssel berechnen Client und Server einen gemeinsamen, dritten kryptografischen Schlüssel (symmetrische Verschlüsselung), der anderen nicht zur Verfügung steht. Damit tauschen sie untereinander Daten sicher aus.

Das Projekt Let’s Encrypt der Linux Foundation hat nach eigenen Angaben bereits 260 Millionen SSL-Zertifikate herausgegeben. Es gibt drei Wege, eins zu erhalten:

• Wer von seinem Hosting-Anbieter einen sogenannten Shell-Account bekommt, der einen Remote-Zugang via Unix-Shell ermöglicht, erhält das Zertifikat zum Beispiel mit Certbot. Das ist eine Anwendung, die das sichere ACME-Protokoll benutzt und Domains automatisch prüft. Dafür erhält Certbot eine Anfrage (Challenge) von Let’s Encrypt. Beispielsweise muss er einen DNS-Eintrag verändern oder einfügen, um die Domain-Inhaberschaft nachzuweisen. Alternativ lassen sich auch andere Clients verwenden, solange sie das ACME-Protokoll unterstützen.
• Ist kein Shell-Account verfügbar, wendet sich der Webseitenbetreiber am besten an seinen Hoster, der das SSL-Zertifikat bei Let’s Encrypt anfordert. Viele Hoster haben Let’s Encrypt implementiert.
• Gibt es weder einen Shell-Account noch Let’s Encrypt-Support beim Hoster, lässt sich Certbot auch in manuellem Modus verwenden. Indem ein Nutzer eine bestimmte Datei auf dem Hosting-Server hochlädt, beweist er, dass er die Domain besitzt. Das SSL-Zertifikat lädt er dann ebenfalls manuell auf dem Server hoch.

Auch der Anbieter von Cybersecurity-Lösungen und Cloud-Services Cloudflare stellt seit 2014 kostenlose SSL-Zertifikate bereit. Dafür sind folgende Schritte notwendig:

1. Erstellen Sie ein kostenloses Cloudflare-Konto. Dafür steht der Tarif „Free“ zur Verfügung.
2. Fügen Sie dem Konto die gewünschte Website (Domain) hinzu.
3. Wählen Sie die gewünschte Option. Mit „Flexible“ erhalten Nutzer ein SSL-Zertifikat, das den Datenverkehr von den Webseitenbesuchern zum Cloudflare-Server verschlüsselt, aber nicht vom Cloudflare-Server zum Hoster-Server. „Full“ und „Full Strict“ garantieren dagegen eine Ende-zu-Ende-Verschlüsselung. Bei „Full Strict“ muss das Zertifikat zusätzlich aus einer geprüften Zertifizierungsstelle stammen, während „Full“ auch von Cloudflare herausgegebene (Origin CA) oder selbst signierte Zertifikate erlaubt.
4. Entscheidet man sich beispielsweise für ein Origin CA Zertifikat von Cloudflare, erstellt die Software eine sogenannte Zertifikatsignierungsanforderung (Certificate Signing Request, Endung .crt) und einen Privatschlüssel (Private Key, Endung .key). Beide Dateien werden lokal gespeichert.
5. Wählen Sie die Domain, für die das Zertifikat erstellt werden soll.
6. Erstellen Sie das SSL-Zertifikat.
7. Laden Sie das Zertifikat auf dem Hosting-Server hoch.

Weitere Zertifizierungsstellen

Let’s Encrypt und Cloudflare sind zwar die bekanntesten, aber nicht die einzigen Herausgeber von kostenlosen SSL-Zertifikaten. Organisationen wie SSL For Free, Zero SSL und FreeSSL verlangen ebenfalls kein Geld. Zudem gibt es Zertifizierungsstellen, die Neukunden erst nach einer kostenlosen Probezeit für das Zertifikat zahlen lassen.

Je nachdem, welche Einträge überprüft werden, unterteilt man SSL-Zertifikate in folgende Kategorien:

• Bei Domain-validierten SSL Zertifikaten prüft der Herausgeber nur, ob der Antragsteller die Domain besitzt. Beispielsweise sendet er eine Test-Mail, um zu schauen, ob die E-Mail-Adresse des Antragstellers mit der in der Whois-Datenbank eingetragenen E-Mail-Adresse übereinstimmt. Die Whois-Liste ist eine Datenbank, die einem Telefonbuch ähnelt. Sie enthält Informationen zu den existierenden Domains und ihren Inhabern. Hat die Webseite ein Domain-validiertes SSL-Zertifikat erhalten, erscheint in der Browserleiste ein Schloss.
• Bei Organisation-validierten SSL Zertifikaten überprüft die ausstellende Organisation auch das Unternehmen, das die Domain besitzt. Dafür benötigt sie in der Regel Dokumente wie den Handelsregisterauszug oder die Gewerbeanmeldung. Gewisse Informationen über das Unternehmen (Adresse und Sitz) erhält der Endnutzer, wenn er auf das Schlosssymbol links von der URL klickt.
• Die Extended-Validation Zertifizierung ist die aufwändigste SSL-Zertifizierung und bestimmten Zertifizierungsstellen vorbehalten. Hier verifiziert der Herausgeber nicht nur das Unternehmen, sondern auch die Identität der Geschäftsführer. Auch prüft er, ob der Antragsteller befugt ist, das SSL-Zertifikat im Namen des Unternehmens zu beantragen. Frühere Browserversionen stellten ein Extended-Validation Zertifikat mit einer grünen Adressleiste dar. Neuere verzichten auf diese Darstellung, jedoch sind relevante Informationen mit einem Klick auf das Schlosssymbol einsehbar.

Bezüglich der geprüften Domains gibt es bei SSL-Zertifikaten folgende Möglichkeiten:

• Single – hier prüft der Herausgeber eine einzige Domain, beispielsweise sport.de.
• Wildcard – diese Art von SSL-Zertifikat bescheinigt die Integrität von einer Domain und der dazugehörigen Subdomains, beispielsweise sport.de, fussball.sport.de und wetten.sport.de.
• Multidomain – dieses Zertifikat gilt für mehrere Domains, zum Beispiel sport.de und fitness.de.

Kostenlose SSL-Zertifikate erfreuen sich großer Beliebtheit und bieten insbesondere für kleine Websites viele Vorteile:

• Keine Kosten – wer ein Business startet, muss viele Ausgaben ohne entsprechenden Umsatz bewältigen. Gratis SSL-Zertifikate entlasten das Budget. Auch für Blogger sind sie eine gute Alternative zu bezahlten Paketen.
• Sicherheit – kostenlose SSL-Zertifikate nutzen die gleichen Verschlüsselungsalgorithmen wie kostenpflichtige Zertifikate, um die verschlüsselten Daten zu übertragen. Die digitale Signatur besteht meist aus einer ebenfalls sicheren 4096-Bit-RSA-Schlüssel.
• Schnell – da das Verfahren automatisiert ist, wird das SSL-Zertifikat in der Regel sofort ausgestellt. Kostenpflichtige Anbieter prüfen dagegen oft Einträge manuell, was länger dauert.
• Transparent – das Prüfverfahren ist bei Anbietern wie Let’s Encrypt und Cloudflare verständlich dargestellt. Auch nicht technisch versierte Webseitenbesitzer können alle Schritte nachvollziehen.
• Unabhängig – Initiativen wie Let’s Encrypt sind gemeinnützig. Zwar stecken dahinter große Unternehmen wie Linux, Mozilla und Google, dennoch ist das Projekt im Gegensatz zu kostenpflichtigen SSL-Zertifikaten nicht profitorientiert, was seine Glaubwürdigkeit erhöht.

Gleichzeitig haben Nutzer von kostenlosen SSL-Zertifikaten auch Nachteile:

• Art des Zertifikats – meist sind nur Domain-validierte SSL-Zertifikate kostenlos. Eine Überprüfung des Unternehmens ist somit nicht möglich.
• Automatische Überprüfung – bei bezahlten SSL-Zertifikaten prüft der Herausgeber die Antragsteller detaillierter. Beispielsweise rufen Mitarbeitende das Unternehmen an oder schauen sich die Einträge im Handelsregister an. Das hilft, Betrüger zu erkennen. Kostenlose SSL-Zertifikate haben dagegen gelegentlich auch Hacker erhalten. Darunter kann die Glaubwürdigkeit leiden, obwohl die meisten Websites ehrlich sind.
• Fehlender Kundenservice – gibt es technische Probleme, hilft bei kostenlosen Anbietern keine Hotline, sondern meist gibt es nur Community-Foren. Das ist insbesondere für nicht technisch versierte Webseiteninhaber problematisch.
• Keine Garantie – ist das Zertifikat fehlerhaft und entsteht ein finanzieller Schaden, steht Webseiteninhabern bei kostenlosen SSL-Zertifikaten keine Entschädigung zu. Das passiert zwar selten, ist aber möglich.

Kostenlose SSL-Zertifikate sind vor allem für Inhaber von kleinen Unternehmen und Anfänger eine vorteilhafte Lösung, um die Sicherheit ihrer Besucher zu garantieren, ohne dass sie allzu viel Zeit investieren müssen. Große Unternehmen sollten hingegen auf ein Organisation-validiertes SSL-Zertifikat setzen, um ihre Integrität zu beweisen. Oft lohnt es sich, Pakete zu nutzen, bei denen das SSL-Zertifikat bereits im Webhosting-Tarif enthalten ist.