SUPPORT

SSL-Zertifikate

SSL-Zertifikate - Hier vergleichen!

Um Ihnen die Entscheidung bei unserer großen Auswahl an CAs zu erleichtern bieten wir Ihnen einen individuellen Vergleich der Zertifikate an. Wählen Sie ganz einfach bis zu fünf Ihrer favorisierten CAs aus und sehen Sie die Ergebnisse im direkten Vergleich. 
  Symantec
  Thawte
  GeoTrust
  COMODO
  GlobalSign
  SwissSign
  Certum
  SpaceSSL
Allgemeine Informationen zu den CA's
Ausstellende CA COMODO GeoTrust GlobalSign Thawte Symantec
Sitz der CA GB US JP ZA US
Kostenloser Austausch Ja Ja Ja Ja Ja
Zusätzliche physikalische Maschinen ohne Aufpreis ohne Aufpreis ohne Aufpreis ohne Aufpreis gleich dem Zertifikatspreis
Sicherheitsfeatures
Verschlüsselung 128 bit - 256 bit 128 bit-256 bit 128 bit-256 bit 128 bit-256 bit 40 bit - 256 bit
SGC (Server Gated Cryptography)-Funktion bei Comodo SGC und EV SGC SSL Nein Nein bei SGC SuperCert Nein
Schlüssellängen min. 2048 bit min. 2048 bit min. 2048 bit min. 2048 bit min. 2048 bit
Verschlüsselungsart wahlweise RSA oder ECC wahlweise RSA oder DSA wahlweise RSA oder ECC wahlweise RSA oder DSA wahlweise ECC, DSA, RSA
Hashalgorithmus SHA-2 SHA-2 SHA-2 SHA-2 SHA-2
Browserabdeckung
+SHA-2
ab 6 und XP SP3+
7.1
9.0
3.0 (Mac OS X 10.5+)
1.5
3.5.6
26.0
1.4.2
3.0
2.3
7.0
5.0
6.0 und XP SP3+
7.1
9.0
3.0 (Mac OS X 10.5+)
1.5
3.5.6
26.0
1.4.2
3.0
2.3
7.0
5.0
ab 7.0 und XP SP3
7.1
9.0
3.0
1.5
3.5.6
26.0
1.4.2
3.0
2.3
7.0
5.0
ab 7.0 und XP SP3
7.1
9.0
3.0
1.5
3.5.6
26.0
1.4.2
3.0
2.3
7.0
5.0
ab 7.0 und XP SP3
7.1
9.0
3.0
1.5
3.5.6
26.0
1.4.2
3.0
2.3
7.0
5.0
Zertifikatsarten
+ Domainvalidierte Einzelzertifikate
Ausstellende CA
Produktname Lite (PositiveSSL) Bronze (RapidSSL) AlphaSSL Limitbreaker (SSL123)
Root-Zertifikat AddTrust External CA Root Equifax Secure CA GlobalSign Root CA Thawte Premium Server CA
Anzahl Zwischenzertifikate 1 2 1 2
Sicherheitssiegel SiteSeal SiteSeal SiteSeal dynamisches SiteSeal
Ausstellungsdauer 10 Minuten 30 Minuten 15 Minuten 30 Minuten
Validierung E-Mail-Robot oder Hash E-Mail-Robot oder Hash E-Mail Robot E-Mail-Robot oder Hash
Gültigkeitsdauer 1 - 3 Jahre 1 - 3 Jahre 1 - 3 Jahre 1 - 3 Jahre
Bei Bestellung für www.domain.de
Gratisabsicherung für domain.de
Ja Ja Ja Ja
kostenlose Malware-
Überwachung
Nein Nein Nein Nein
Zertifizierung der Intranetnamen möglich Nein Nein Nein Nein
Zertifizierung der IP-Adresse möglich Nein Nein Nein Nein
1 Jahr
15,- € 29,- € 35,- € 39,- €
2 Jahre
29,- € 49,- € 59,- € 69,- €
3 Jahre
39,- € 69,- € 85,- € 99,- €
inkl. MwSt. Laufzeit wählen & Bestellen Laufzeit wählen & Bestellen Laufzeit wählen & Bestellen Laufzeit wählen & Bestellen
+ Domainvalidierte Multidomain Zertifikate
Ausstellende CA
Produktname Lite Multidomain Bronze Multidomain (QuickSSL Premium) GlobalSign DV SAN
Root-Zertifikat AddTrust External CA Root Equifax Secure CA GlobalSign Root CA
Anzahl Zwischenzertifikate 1 2 1
Sicherheitssiegel Nein dynamisches SiteSeal SiteSeal
Ausstellungsdauer 10 Minuten 30 Minuten 10 Minuten
Gültigkeitsdauer 1 - 3 Jahre 1 - 3 Jahre 1 - 3 Jahre
Validierung E-Mail-Robot oder Hash (jede Domain seperat) E-Mail-Robot oder Hash E-Mail Robot
Maximale Anzahl zusätzliche Domains 99 3 99
SANs enthalten im Paketpreis enthalten Hauptdomain + 2 zusätzliche SANs im Paketpreis enthalten Hauptdomain + 3 Subdomains Nein
Zusätzliche Subdomains ** 29,- € 3 im Paketpreis enthalten 49,- €
Zusätzliche lokale Hostnamen ** Nein Nein Nein
Zusätzliche IP-Adressen ** Nein Nein Nein
Zusätzliche Domains ** 29,- € Nein Nein
Zusätzliche Unified Communication Hostnamen ** 29,- € Nein im Paketpreis enthalten (owa,mail,autodiscover)
1 Jahr
89,- € 39,- € 99,- €
2 Jahre
169,- € 69,- € 189,- €
3 Jahre
249,- € 99,- € 279,- €
inkl. MwSt. Laufzeit wählen & Bestellen Laufzeit wählen & Bestellen Laufzeit wählen & Bestellen
+ Domainvalidierte Wildcard Zertifikate
Ausstellende CA
Produktname Lite Wildcard Bronze (RapidSSL) Wildcard AlphaSSL Wildcard Limitbreaker Wildcard (SSL123)
Root-Zertifikat AddTrust External CA Root Equifax Secure CA GlobalSign Root CA Thawte Premium Server CA
Anzahl Zwischenzertifikate 1 2 1 2
Sicherheitssiegel SiteSeal SiteSeal SiteSeal dynamisches Site Seal
Ausstellungsdauer 10 Minuten 30 Minuten 10 Minuten 30 Minuten
Validierung E-Mail-Robot oder Hash E-Mail-Robot oder Hash E-Mail Robot E-Mail-Robot oder Hash
Gültigkeitsdauer 1 - 3 Jahre 1 - 3 Jahre 1 - 3 Jahre 1 - 3 Jahre
Bei Bestellung für *.domain.de
Gratisabsicherung für domain.de
Ja Nein Ja Ja
Zusätzliche Subdomains ** unbegrenzt unbegrenzt unbegrenzt unbegrenzt
1 Jahr
169,- € 199,- € 149,- € 169,- €
2 Jahre
289,- € 349,- € 249,- € 289,- €
3 Jahre
409,- € 499,- € 349,- € 409,- €
inkl. MwSt. Laufzeit wählen & Bestellen Laufzeit wählen & Bestellen Laufzeit wählen & Bestellen Laufzeit wählen & Bestellen
+ Organisationsvalidierte Einzel Zertifikate
Ausstellende CA
Produktname New Silver (InstantSSL) TrueBusiness ID GlobalSign OV Platinum (SSL WebServer) Secure Site
Root-Zertifikat AddTrust External CA Root Equifax Secure CA GlobalSign Root CA Thawte Premium Server CA VeriSign Class 3 Public Primary CA
Anzahl Zwischenzertifikate 1 2 1 2 2
Sicherheitssiegel Trust Logo dynamisches SiteSeal dynamisches SiteSeal dynamisches SiteSeal dynamisches SiteSeal
Ausstellungsdauer 1 Stunde(n) 3 Werktage 3 Werktage 3 Werktage 3 Werktage
Validierung Dokument, E-Mail Robot und Rückruf Dokumente, Rückruf Dokumente, Rückruf Dokumente, Rückruf Dokumente, Rückruf
Gültigkeitsdauer 1 - 3 Jahre 1 - 3 Jahre 1 - 3 Jahre 1 - 3 Jahre 1 - 3 Jahre
Bei Bestellung für www.domain.de
Gratisabsicherung für domain.de
Ja Ja Ja Ja Ja
kostenlose Malware-
Überwachung
Nein Nein Ja Nein Ja
Zertifizierung der Intranetnamen möglich Nein Nein Nein Nein Nein
Zertifizierung der IP-Adresse möglich Ja Nein Nein Nein Nein
1 Jahr
49,- € 79,- € 149,- € 69,- € 349,- €
2 Jahre
89,- € 149,- € 289,- € 129,- € 599,- €
3 Jahre
129,- € 219,- € 429,- € 189,- € 799,- €
inkl. MwSt. Laufzeit wählen & Bestellen Laufzeit wählen & Bestellen Laufzeit wählen & Bestellen Laufzeit wählen & Bestellen Laufzeit wählen & Bestellen
+ Organisationsvalidierte Multidomain Zertifikate
Ausstellende CA
Produktname New Silver Multidomain
Root-Zertifikat
Anzahl Zwischenzertifikate 1
Sicherheitssiegel Nein
Ausstellungsdauer 1 Stunde(n)
Gültigkeitsdauer 1 - 3 Jahre
Maximale Anzahl zusätzliche Domains 99
SANs enthalten im Paketpreis enthalten Hauptdomain + 2 zusätzliche SANs
Zusätzliche Subdomains ** 49,- €
Zusätzliche lokale Hostnamen ** Nein
Zusätzliche IP-Adressen ** Nein
Zusätzliche Domains ** 49,- €
Zusätzliche Unified Communication Hostnamen ** 49,- €
1 Jahr
149,- €
2 Jahre
289,- €
3 Jahre
429,- €
inkl. MwSt. Laufzeit wählen & Bestellen
+ Organisationsvalidierte Unified Communication Zertifikate (UCC)
Ausstellende CA
Produktname Comodo UCC TrueBusiness ID SAN GlobalSign UCC Platinum SAN Secure Site SAN
Root-Zertifikat EntrustSecureServerCA Equifax Secure CA GlobalSign Root CA Thawte Premium Server CA VeriSign Class 3 Public Primary CA
Anzahl Zwischenzertifikate 1 2 1 2 2
Sicherheitssiegel Nein dynamisches SiteSeal dynamisches SiteSeal dynamisches SiteSeal dynamisches SiteSeal
Validierung Dokument, E-Mail Robot und Rückruf Dokumente, Rückruf Dokumente, Rückruf Dokumente, Rückruf Dokumente, Rückruf
Ausstellungsdauer 1 Stunde(n) 3 Werktage 3 Werktage 1-2 Werktage 3 Werktage
Gültigkeitsdauer 1 - 3 Jahre 1 - 3 Jahre 1 - 3 Jahre 1 - 3 Jahre 1 - 3 Jahre
Maximale Anzahl zusätzliche Domains 99 99 99 99 99
SANs enthalten im Paketpreis enthalten Hauptdomain + 2 zusätzliche SANs im Paketpreis enthalten Hauptdomain + 2 zusätzliche SANs Nein Nein Nein
Zusätzliche Subdomains ** 29,- € 29,- € 49,- € 69,- € 349,- €
Zusätzliche lokale Hostnamen ** Nein Nein Nein Nein Nein
Zusätzliche IP-Adressen ** 29,- € Nein 99,- € Nein Nein
Zusätzliche Domains ** 29,- € 29,- € 99,- € 69,- € 349,- €
Zusätzliche Unified Communication Hostnamen ** 29,- € 29,- € im Paketpreis enthalten (owa,mail,autodiscover) 69,- € 349,- €
Zusätzliche Wildcarddomains ** 299,- € 399,- € Nein 299,- € 2249,- €
1 Jahr
199,- € 249,- € 149,- € 69,- € 349,- €
2 Jahre
389,- € 489,- € 289,- € 129,- € 599,- €
3 Jahre
579,- € 729,- € 429,- € 189,- € 799,- €
inkl. MwSt. Laufzeit wählen & Bestellen Laufzeit wählen & Bestellen Laufzeit wählen & Bestellen Laufzeit wählen & Bestellen Laufzeit wählen & Bestellen
+ Organisationsvalidierte Wildcard Zertifikate
Ausstellende CA
Produktname New Silver Wildcard TrueBusiness ID Wildcard GlobalSign OV Wildcard Platinum Wildcard
Root-Zertifikat AddTrust External CA Root Equifax Secure CA GlobalSign Root CA Thawte Premium Server CA
Anzahl Zwischenzertifikate 1 2 1 2
Sicherheitssiegel TrustLogo dynamisches SiteSeal dynamisches SiteSeal dynamisches SiteSeal
Ausstellungsdauer 1 Stunde(n) 3 Werktage 1-2 Werktage
Validierung Dokument, E-Mail Robot und Rückruf Dokumente, Rückruf Dokumente, Rückruf Dokumente, Rückruf
Bei Bestellung für *.domain.de
Gratisabsicherung für domain.de
Ja Ja Ja Nein
Gültigkeitsdauer 1 - 3 Jahre 1 - 3 Jahre 1 - 3 Jahre 1 - 3 Jahre
Zusätzliche Subdomains ** unbegrenzt unbegrenzt unbegrenzt unbegrenzt
1 Jahr
299,- € 399,- € 419,- € 299,- €
2 Jahre
499,- € 699,- € 739,- € 499,- €
3 Jahre
699,- € 999,- € 1059,- € 699,- €
inkl. MwSt. Laufzeit wählen & Bestellen Laufzeit wählen & Bestellen Laufzeit wählen & Bestellen Laufzeit wählen & Bestellen
+ Erweitert validierte Einzel Zertifikate
Ausstellende CA
Produktname Comodo EV True Business ID with EV ExtendedSSL SSL WebServer with EV Secure Site with EV
Root-Zertifikat AddTrust External CA Root GeoTrust Primary CA GlobalSign Root Thawte Primary Root CA VeriSign Class 3 Public Primary CA
Anzahl Zwischenzertifikate 1 2 1 2 2
Sicherheitssiegel TrustLogo dynamisches SiteSeal dynamisches SiteSeal dynamisches SiteSeal dynamisches SiteSeal
Validierung Domain, Dokument, Vertrag, Rückruf Dokumente, Rückruf Domain, Dokument und Rückruf Dokumente, Rückruf Dokumente, Rückruf
Ausstellungsdauer 1 - 10 Werktage 1-10 Werktage 5 Werktage 3 - 5 Werktage 3 - 10 Werktage
Gültigkeitsdauer 1 - 2 Jahre 1 - 2 Jahre 1 - 2 Jahre 1 - 2 Jahre 1 - 2 Jahre
Bei Bestellung für www.domain.de
Gratisabsicherung für domain.de
Ja Ja Ja Ja Ja
kostenlose Malware-
Überwachung
Nein Nein Ja Nein Ja
1 Jahr
199,- € 199,- € 569,- € 199,- € 899,- €
2 Jahre
349,- € 349,- € 969,- € 349,- € 1599,- €
inkl. MwSt. Laufzeit wählen & Bestellen Laufzeit wählen & Bestellen Laufzeit wählen & Bestellen Laufzeit wählen & Bestellen Laufzeit wählen & Bestellen
+ Erweitert validierte Multidomain Zertifikate
Ausstellende CA
Produktname COMODO EV Multidomain True BusinessID with EV SAN ExtendedSSL SAN SSL WebServer with EV SAN Secure Site with EV SAN
Root-Zertifikat AddTrust External CA Root GeoTrust Primary CA GlobalSign Root Thawte Primary Root CA VeriSign Class 3 Public Primary CA
Anzahl Zwischenzertifikate 1 2 1 2 1
Sicherheitssiegel Trust Logo dynamisches SiteSeal dynamisches SiteSeal dynamisches SiteSeal dynamisches SiteSeal
Validierung Domain, Dokument, Vertrag, Rückruf Dokumente, Rückruf Domain, Dokument und Rückruf Dokumente, Rückruf Dokumente, Rückruf
Ausstellungsdauer 1-10 Werktage 1-10 Werktage 3 - 10 Werktage 5 - 10 Werktage
Gültigkeitsdauer 1 - 2 Jahre 1 - 2 Jahre 1 - 2 Jahre 1 - 2 Jahre 1 - 2 Jahre
Maximale Anzahl zusätzliche Domains 99 25 99 99 99
SANs enthalten im Paketpreis enthalten Hauptdomain + 2 zusätzliche SANs im Paketpreis enthalten Hauptdomain + 2 zusätzliche SANs Nein Nein Nein
Zusätzliche Subdomains ** 99,- € 99,- € 99,- € 199,- € 899,- €
Zusätzliche lokale Hostnamen ** Nein Nein Nein Nein Nein
Zusätzliche IP-Adressen ** Nein Nein Nein Nein Nein
Zusätzliche Domains ** 99,- € 99,- € 169,- € 199,- € 899,- €
Zusätzliche Unified Communication Hostnamen ** 99,- € 99,- € im Paketpreis enthalten (owa,mail,autodiscover) 199,- € 899,- €
1 Jahr
299,- € 299,- € 569,- € 199,- € 899,- €
2 Jahre
499,- € 499,- € 969,- € 349,- € 1599,- €
inkl. MwSt. Laufzeit wählen & Bestellen Laufzeit wählen & Bestellen Laufzeit wählen & Bestellen Laufzeit wählen & Bestellen Laufzeit wählen & Bestellen
Schatten


* = nach erfolgreicher Prüfung Ihres Auftrags.


** = Preis bezogen auf 1 Jahr Laufzeit

Bitte beachten Sie: Aus Sicherheitsgründen geflaggte Aufträge domainvalidierter Zertifikate werden seitens RapidSSL/GeoTrust/Thawte/Symantec werktags spätestens innerhalb von 24 Stunden freigegeben. Wir tun unser Bestes, diesen Vorgang für Sie zu beschleunigen, haben aber leider keinen direkten Einfluss darauf. Wenn Sie daher einen dringenden Auftrag haben, teilen Sie uns dies bitte mit, damit wir hier noch einmal gesondert bei RapidSSL/GeoTrust/Thawte/Symantec nachhaken können.

  
Aktionsangebot
Aktionsangebot
In unserer aktuellen Aktion "more for less" erhalten Sie eine bis zu 90 Tage längere Laufzeit in den Produktlinien Lite und New Silver bis zu 2 Jahre. Effektiv kostet Sie damit beispielsweise unser Lite-Zertifikat ab 12,03 € brutto für die Laufzeit von 1 Jahr (365 Tage). Bei Zertifikaten mit 3 Jahren Laufzeit dürfen wir auf Grund der Vorgaben des CA/Browser-Forums keine zusätzliche Laufzeit gewähren.
Dieses Angebot gilt vom 01.01.2013 bis zum 31.12.2015.

SSL-Zertifikate - Was Sie wissen sollten!

Was ist ein SSL/TLS-Zertifikat?

SSL/TLS-Zertifikate sind „digitale Ausweise“, welche die Identität der Website und/oder des Websitebetreibers bestätigen. Nach der Installation auf einem Webserver aktiviert das SSL/TLS-Zertifikat das Sicherheitsschloss sowie das HTTPS-Protokoll über Port 443. Somit sind sichere Verbindungen von einem Webserver zum Browser (= Client) möglich. Heutzutage wird SSL/TLS (Secure Socket Layer, TLS – Transport Layer Security ist die Weiterentwicklung des SSL-Protokolls) nicht mehr nur für Kreditkartentransaktionen, Logins und Datentransfers verwendet, sondern auch immer häufiger für Social Media-Seiten.

SSL/TLS-Zertifikate binden einen Domain-, Server- oder Hostnamen an eine Identität (eine Organisation, ein Unternehmen oder auch eine Privatperson) und einen Standort. Je nachdem, welchen Typus das beantragte SSL/TLS-Zertifikat aufweist, gibt es verschiedene Stufen zur Überprüfung (Validierungstypen, s. "Welche Unterschiede gibt es bei SSL/TLS-Zertifikaten?") einer Identität. Ist das Zertifikat installiert, verbindet sich der Browser mit der Website über HTTPS. Ist eine sichere Verbindung hergestellt, wird der gesamte Verkehr zwischen Webserver und Browser gesichert. Verschiedene sichtbare Vertrauensindikatoren zeigen dem Website-Besucher im Browser an, dass die besuchte Seite SSL/TLS-gesichert ist.

Welchen Nutzen haben SSL/TLS-Zertifikate?
 
Die Verschlüsselung mittels SSL/TLS (Secure Socket Layer, TLS – Transport Layer Security neuer Standard) ermöglicht Ihnen, den Datentransfer zwischen dem Webserver und dem Browser zu verschlüsseln. Dritte haben somit keinen Zugriff auf die ausgetauschten Daten. Das ist vor allem dann sinnvoll, wenn auf Ihrer Website sensible Daten übertragen werden, etwa wenn Sie eine Login-Funktion mit Registrierung bieten oder einen Online-Shop betreiben.

Besucher können sich anhand optischer Erkennbarkeiten sicher sein, dass die unter der zertifizierten Domain abgerufenen Daten tatsächlich von der aufgerufenen Website stammen und dass die eigenen Daten sicher übertragen werden.

Welche Unterschiede gibt es bei SSL/TLS-Zertifikaten?
 
Im Wesentlichen werden drei unterschiedliche SSL/TLS-Zertifikate unterschieden: domainvalidierte, organisationsvalidierte und erweitert validierte-Zertifikate. Im Einzelnen:

Domainvalidierte SSL/TLS-Zertifikate finden am meisten Verbreitung im World Wide Web. Sie eignen sich ideal für non-Commerce-Sites. Die zu zertifizierende Domain wird per E-Mail oder Hash (HTTP Hash, CName Hash- Validierungsmethode) validiert: Mittels E-Mail-Robot wird eine Nachricht an die in der Bestellung angegebene Adresse versendet. Der Besteller bestätigt die Anforderung des Zertifikats. So prüft die Zertifizierungsstelle (CA), ob Besteller und Domaininhaber übereinstimmen. Bei der  HTTP Hash-Validierung wird aus dem vorher erzeugten CSR ein Hashwert gebildet, der als Datei abgespeichert wird. Der Besteller des Zertifikats legt die Hash-Datei ins Root-Verzeichnis des Servers ab. Auch die CA erzeugt einen Hashwert aus dem CSR. Dieser wird nun mit dem Hashwert der im Server abgelegten Datei abgeglichen und stimmen diese überein, gilt die Domain als validiert. Schon in wenigen Minuten nach der E-Mail-Bestätigung wird das domainvalidierte SSL/TLS-Zertifikat ausgestellt
Organisationsvalidierte SSL/TLS-Zertifikate eignen sich für Online-Shops, Firmenwebsites oder auch für Webmail-Anbieter. Für den Domaincheck wird dasselbe Verfahren genutzt wie beim domainvalidierten Zertifikat. Hinzu kommt allerdings eine Organisationsprüfung: Firmen müssen bestimmte Dokumente an die CA senden, um zu bezeugen, dass das Unternehmen existiert und sie der Inhaber der Domain sind. In aller Regel wird ein Handelsregisterauszug benötigt, außerdem kann bei Unternehmen die weniger als drei Jahre existieren, ein Nachweis über ein aktives Geschäftskonto angefragt werden. Telefonisch wird geprüft, ob der in der Bestellung genannte Ansprechpartner tatsächlich existiert.  Die Telefonnummer eines Unternehmens muss in einem öffentlichen Telefonbuch eingetragen sein, denn nur Nummern aus Telefonbucheinträgen können angerufen werden. Organisationen, die ihren Sitz in Deutschland haben, sind in aller Regel in einer der folgenden Telefondatenbanken eingetragen: Das Örtliche, das Telefonbuch, Gelbe Seiten, UPIK, Firmenwissen oder klickTel. Des Weiteren wird der WHOIS-Eintrag abgeglichen, ob der Domaininhaber das Unternehmen (nicht die Person!) ist, welches das Zertifikat beantragt hat. Ist der Domaininhaber nicht identisch mit dem Zertifikatsinhaber, muss der WHOIS-Eintrag vor der Zertifikatsbestellung geändert werden. Für Einzelunternehmen, die lediglich die Gewerbeanmeldung als Firmennachweis vorlegen können, gilt: Eine zusätzliche Face-to-Face-Validierung wird mithilfe eines Anwalts nötig. Der Zertifikatsinhaber muss seine Identität von einem Anwalt bestätigen lassen. Die Preise für organisationsvalidierte SSL/TLS-Zertifikate beginnen bei 49 Euro pro Jahr. Für Website-Besucher werden diese SSL/TLS-Zertifikate dadurch erkenntlich, dass ein Klick auf das Schloss in der Adressleiste den Unternehmensnamen und Ort preisgibt.

Extended Validation-Zertifikate (EV-Zertifikate) werden noch vorrangig von Banken genutzt. Website-Besucher werden optisch darauf hingewiesen, dass sie eine stark gesicherte Seite betreten: Die Adressleiste wird grün und mit einem Klick auf das Schloss in der Adressleiste des Browsers werden Domain-, Unternehmensname sowie Ort der Firma angezeigt. EV-Zertifikate werden grundsätzlich mit 256 Bit verschlüsselt. Nicht jeder kann ein Extended Validation-Zertifikat ordern: Neben den bei organisationsvalidierten Zertifikaten beschriebenen Schritten muss der Besteller in einem öffentlichen Register, etwa dem Handelsregister, aufgeführt sein. Er muss Dokumente unterzeichnen und telefonisch seine Identität bestätigen.
SSL/TLS-Zertifikate werden in Class 0, 1, 2, 3 und 4 unterteilt. Diese Klassifizierungen beschreiben die Art der Validierung und Authentifizierung, sind allerdings nicht standardisiert, weshalb jede CA selbst bestimmen kann, wie sie ihre Klassifizierung vornimmt. Am häufigsten sieht man die folgende Klassifizierung:

Klasse Validierungstyp Signaturniveau
0 Selbst validiert EES
1 DV n/a
2 Je nach CA: Admin-Zertifikat nach Class 3; Admin validiert die Mitarbeiter nach Class 2 n/a
3 Je nach CA: OV FES
4 Je nach CA: Face-to-Face oder Erweiterte Validierung (EV) QES

Welche SSL/TLS-Zertifikate gibt es?
 
Es wird zwischen Einzel-, Multidomain- und Wildcard-Zertifikaten unterschieden:

Einzelzertifikate verwenden Sie, um eine einzelne Domain abzusichern. Dies kann der allgemeine Domainname, etwa www.beispiel.de, sein.

Multidomain-Zertifikate setzen Sie ein, wenn Sie verschiedene Domains mit einem Zertifikat und einer IP-Adresse sichern möchten. Ein Multidomain-Zertifikat verwenden Sie beispielsweise für www.example.com, beispiel.de, www.shop.beispiel.com und www.noch-ein-beispiel.de. Damit bilden Multidomain-SSL/TLS-Zertifikate eine günstigere Alternative zum Kauf mehrerer Einzelzertifikate.

Wildcard-Zertifikate sind geeignet, um beliebig viele Subdomains einer bestimmten Domain zu schützen, beispielsweise ftp.beispiel.de, www.beispiel.de und mail.beispiel.de. Für Organisationen und Unternehmen zeigt sich das Wildcard-SSL/TLS-Zertifikat als eine kostengünstige Möglichkeit, um einzelne Subdomains abzusichern. Bei Wildcard-Zertifikaten wird der allgemeine Name (CN) wie folgt angegeben: *.beispiel.de. So werden alle Subdomains geschützt, die innerhalb der Domain liegen, auch www2.beispiel.de und sogar die Hauptdomain beispiel.de. Ausnahmen sind, www.de.beispiel.de oder www.us.beispiel.de. Für die anderen Domains muss ein zusätzliches Wildcard-Zertifikat für *.de.beispiel.de oder *.us.beispiel.de bestellt werden. Zwar unterstützen die meisten Browser und Server mehrstufige Wildcard-Zertifikate (*.*.beispiel.de), aber der Internet Explorer fällt aus den unterstützenden Browsern raus, weshalb keine CA solche Wildcard-Zertifikate anbietet. Für Wildcard-SSL/TLS-Zertifikate brauchen Sie für jede unabhängige SSL-Seite eine eigene IP-Adresse. Arbeiten Sie mit neueren Apache- oder IIS-Versionen, könnte auch IP-Sharing funktionieren, wenn die SSL-Seiten dasselbe Zertifikat verwenden.

Wie finde ich das richtige SSL/TLS-Zertifikat?
 
Sie können sich jederzeit durch uns beraten lassen: Treten Sie in Kontakt mit uns! Mit dem folgenden Fahrplan finden Sie Ihr Zertifikat:

•   Ich möchte eine private Seite/ ein Forum/ einen Blog/ das Intranet/ einen Mailserver absichern.
◦    Für Sie ist das domainvalidierte SSL/TLS-Zertifikat perfekt. Möchten Sie ...
▪    ... nur eine Einzeldomain absichern? - Holen Sie sich ein domainvalidiertes Einzelzertifikat.
▪    ... mehrere Domains absichern? - Holen Sie sich ein domainvalidiertes Multidomain-Zertifikat.
▪    ... viele Subdomains absichern? - Holen Sie sich ein domainvalidiertes Wildcard-Zertifikat.

•   Ich möchte eine Firmenwebsite/ einen Online-Shop/ ein größeres Forum absichern.
◦    Für Sie ist das organisationsvalidierte SSL/TLS-Zertifikat perfekt. Möchten Sie ...
▪    ... nur eine Einzeldomain absichern? - Holen Sie sich ein organisationsvalidiertes Einzelzertifikat.
▪    ... mehrere Domains absichern? - Holen Sie sich ein organisationsvalidiertes Multidomain-Zertifikat.
▪    ... viele Subdomains absichern? - Holen Sie sich ein organisationsvalidiertes Wildcard-Zertifikat.

•    Wir verfügen über einen Eintrag in einem öffentlichen Register und möchten sensible Daten auf unserer stark frequentierten Seite bestens absichern.
◦    Für Sie ist das Extended Validation-SSL/TLS-Zertifikat perfekt. Möchten Sie ...
▪    ... nur eine Einzeldomain absichern? - Holen Sie sich ein EV-Einzelzertifikat.
▪    ... mehrere Domains absichern? - Holen Sie sich ein EV-Multidomain-Zertifikat.
▪    ... viele Subdomains absichern? - Holen Sie sich ein EV-Multidomain-Zertifikat.

Im Zusammenhang mit IPv6 wird gelegentlich vom "Tod von SSL/TLS" berichtet. Warum?
 
IPv6 (Internet Protocol Version 6, von der Internet Engineering Task Force, IETF, seit 1998 standardisiert) ist nicht etwa eine Weiterentwicklung von IPv4, sondern ein komplett neues Protokoll. Bedeutet: IPv6 ist nicht abwärtskompatibel. Das erschwert die Umstellung von IPv4 auf IPv6 erheblich. Der Nutzen ist allerdings hoch: IPv6 ermöglicht die vereinfachte Vernetzung von Computersystemen, da Hostsysteme bei IPv6 in der Lage sind, selbstständig IP-Adressen für Netzwerkschnittstellen zu wählen. Weiter ist der IPv4-Adressraum schon drastisch knapp: IP-Adressen für den IPv4-Adresspool sind ausgeschöpft.

Noch ist IPv4 überwiegend präsent im Web, da es zurzeit diverse Probleme mit IPv6 gibt (weiterführende Informationen dazu bei Wikipedia). Nichtsdestotrotz sind erste Umstellungsmaßnahmen angelaufen; so beschreibt Heise beispielsweise Router für IPv4 und IPv6. Für diese Umstellung ist die Sorge in aller Munde, dass SSL/TLS-Zertifikate ungültig werden könnten. Dem ist nicht so: Es gibt SSL/TLS-Zertifikate, die auf eine IP-Adresse ausgestellt werden. Dies empfehlen wir jedoch nicht, da Sie dann auch Mailserver über die IP ansprechen müssten. Wird der Hostname angegeben, wird dieser auch zertifiziert und die dahinterstehende IP-Adresse tut nichts zur Sache.

Ich erhalte die Fehlermeldung, dass der Name des SSL/TLS-Zertifikats ungültig ist. Wie kann ich weiter verfahren?

Sie erhalten diese Fehlermeldung, wenn Sie das SSL/TLS-Zertifikat für einen anderen Domainnamen verwenden als den, für den Sie das Zertifikat erstellt haben. Sie können das Zertifikat für www.beispiel.de nicht für blog.beispiel.de verwenden. Möchten Sie mit Ihrem SSL/TLS-Zertifikat auch Subdomains absichern, empfiehlt sich der Kauf eines Wildcard-Zertifikats.

Was muss ich tun, wenn ich meinen privaten Schlüssel verloren habe?

Bitte überprüfen Sie zunächst, ob Sie Ihren privaten Schlüssel in Ihren Backups finden. Wenn nicht, wenden Sie sich bitte an unseren Support (support@psw.net). Wir stellen Ihnen natürlich kostenfrei* ein neues Zertifikat aus. Dafür müssen ein neuer privater Schlüssel sowie das CSR erzeugt werden.*(Bitte beachten Sie, dass dieser Service nicht bei allen Zertifizierungsstellen kostenfrei zur Verfügung steht. Wenn Sie sich unsicher sind sprechen Sie uns an!)

Wenn ich die Subdomains in meinem Zertifikat eintrage, muss ich etwas Spezielles beachten?

Zunächst ist es wichtig, sich zur Sicherung von Subdomains mit Wildcard-Zertifikaten auseinanderzusetzen. Damit schützen Sie die Subdomains Ihrer Hauptdomäne. Mit "*.beispiel.de" sichern Sie auch www.beispiel.de, shop.beispiel.de, blog.beispiel.de oder login.beispiel.de ab. Wichtig ist allerdings, dass Domänen vierter Ordnung (z. B. sonderaktion.shop.beispiel.de) nicht abgesichert sind – für diese Domain bräuchten Sie ein gesondertes SSL/TLS-Zertifikat.

Ist es sinnvoller, das Zertifikat auf die Subdomain, z. B. subdomain.beispiel.de, zu legen oder auf die komplette Domain, z. B. beispiel.de?

Das kommt darauf an, was Sie sichern wollen: Möchten Sie beispielsweise ausschließlich eine Login-Seite, etwa www.login.beispiel.de, sichern, reicht es, ein Einzel-SSL/TLS-Zertifikat auf diese Domäne zu legen. Bedenken Sie aber: Bestellen Sie ein Zertifikat, das mit "www." beginnt, können Sie es auch ohne "www." nutzen, z. B.: Sie bestellen das Zertifikat für www.beispiel.de und nutzen es auch für beispiel.de. Umgekehrt ist das nicht so! Ein auf beispiel.de bestelltes Zertifikat können Sie nicht auch für www.beispiel.de nutzen! In solchen Fällen empfehlen wir den Einsatz von Wildcard-Zertifikaten, mit denen Sie neben Ihrer Hauptdomain auch Subdomains absichern.

Muss ich mein Zertifikat da bestellen, wo ich meinen Server habe?


Nein, in aller Regel können Sie Ihr SSL-Zertifikat unabhängig von Ihrem Serveranbieter bestellen. Fragen Sie im Zweifelsfall nach.


Wenn ich ein SSL-Zertifikat gekauft habe: Wie lange dauert es, bis ich es nutzen kann?


Sobald alle Unterlagen (bei organisationsvalidierten/ erweitert validierten-Zertifikaten) vollständig und korrekt sind, werden alle Angaben geprüft und das SSL-Zertifikat anschließend ausgestellt. Die genauen Ausstellungszeiten, je Produkt, können Sie aus der SSL-Tabelle auslesen. Domainvalidierte SSL-Zertifikate können Ihre Seite bereits zehn Minuten nach erfolgreicher Prüfung Ihres Auftrags absichern.


Ich habe die Domains beispiel.de und beispiel.com registriert. Kann ich mit einem Zertifikat beide Seiten sichern?


Nein, Sie brauchen für beide Domains Einzelzertifikate. Wenn Sie weitere Domains sichern wollen, ist es bequemer und kostengünstiger, Multidomainzertifikate zu bestellen.


Gibt es die Möglichkeit, SSL-Zertifikate erst mal zu testen?
  Ja, sprechen Sie unseren Support auf unsere kostenlosen Testzertifikate an.

Was ist ein Root-Zertifikat?

Root-Zertifikate werden auch als Stamm- oder Wurzelzertifikate bezeichnet, was ihren Charakter bereits etwas näher beschreibt: Das Root-Zertifikat validiert die Gültigkeit aller untergeordneten Zertifikate. Als wichtiger Bestandteil von Public-Key-Infrastruktursystemen (PKI-Systeme) basiert die am häufigsten verwendete Variante eines Root-Zertifikats auf dem ISO x.509-Standard. Dieser Standard beschreibt, welche Inhalte ein Wurzelzertifikat aufweisen muss: Name des Zertifikatsinhabers, öffentlicher Schlüssel desselben, die Gültigkeitsdauer des Zertifikats sowie die Zertifizierungsstelle (CA). Die CA (zum Beispiel SwissSign, Comodo, etc.) signiert die im Root-Zertifikat enthaltenen Informationen mit ihrem Private Key, womit die Korrektheit der im Zertifikat stehenden Angaben bestätigt wird.

Das Zertifikat selbst lässt sich mit dem dazugehörigen öffentlichen Schlüssel der CA überprüfen. Voraussetzung dafür ist die Überprüfbarkeit der Authentizität und Integrität des öffentlichen Schlüssels der CA – heißt: die Zertifizierungsstelle selbst benötigt auch ein Zertifikat. Das erhält sie beispielsweise von einer übergeordneten CA, die wiederum selbst ein Zertifikat einer übergeordneten CA braucht usw. Daraus folgend, erhält man eine Hierarchie von Zertifikaten, die eine Prüfung benötigen, um ihre Gültigkeit zu bestätigen.

Diese Kette muss allerdings irgendwo enden – und hier kommt das Root-Zertifikat ins Spiel. Das Stammzertifikat wird von keiner übergeordneten Zertifizierungsinstanz ausgestellt, es gibt auch keine Verweise auf andere Zertifikate. Die sogenannte Root CA, also die oberste Zertifizierungsstelle, signiert eigene Zertifikate selbst. Damit müssen Root-Zertifikate uneingeschränkt vertrauenswürdig sein. Weiter ist es zwingende Voraussetzung, dass Wurzelzertifikate in den Anwendungsprogrammen installiert sind, andernfalls können sie nicht überprüft werden. Insbesondere Webbrowser enthalten bereits Listen von vorinstallierten Root-Zertifikaten unterschiedlicher CAs, um sichere SSL-/TLS-Verbindungen herzustellen.


Muss ich vor dem Ablauf eines SSL/TLS-Zertifikats selbst an die Verlängerung denken?

Das hängt davon ab, wo Sie Ihre SSL-Zertifikate bestellen. Haben Sie bei der PSW GROUP bestellt, erhalten Sie vor Ablauf Ihres Zertifikats eine Benachrichtigung inklusive der Möglichkeit, Ihr SSL-Zertifikat binnen weniger Minuten zu verlängern. Der Verlängerungsprozess gleicht dem einer Neubestellung; sofern sich Ihre Rechnungsempfängerdaten in der Zwischenzeit nicht geändert haben, entfällt Ihre Identitätsprüfung als Rechnungsempfänger. Zu beachten ist, dass diese Regelung nicht die Identitätsprüfung des Zertifikatsinhabers eines organisationsvalidierten bzw. erweitert validierten- Zertifikats betrifft. Hierfür muss eine erneute Identitätsprüfung erfolgen, obgleich diese uns aus der  Vergangenheit bereits vorliegt. Entscheiden Sie sich für die Verlängerung derselben Produktlinie, wird Ihnen die Restlaufzeit Ihres noch gültigen SSL-Zertifikats gutgeschrieben. Sie können Ihr SSL-Zertifikat frühestens 90 Tage vor dem Ablauf verlängern. Automatische Verlängerungen mit dem alten CSR sind aus technischen Gründen nicht auf Windows-Servern möglich. Um domainvalidierte Zertifikate beim IIS zu verlängern, genügt leider keine einfache Verlängerungsanforderung. Lesen Sie bitte die nötigen Schritte in unserer Knowledge-Base nach.

Was ist Shared-SSL/TLS und was muss ich dabei beachten?

Bei Shared-SSL teilen sich alle Hosting-Kunden ein SSL-Zertifikat. Hierzu erwirbt der jeweilige Anbieter ein Wildcard-Zertifikat für eine Domain und sichert damit die Subdomains der Kunden ab. Der Nachteil: alle Kunden laufen unter der gleichen Hauptdomain. Daraus folgend wird zwar die Domain des Webhosting-Anbieters authentifiziert, nicht aber die Subdomain des Kunden. Aus Kostengründen mag Shared-SSL interessant sein, allerdings widerspricht es dem eigentlich Sinn der SSL-Zertifikate: Dem Nachweis einer erfolgreichen Identitätsprüfung durch eine CA als unabhängige Stelle.

Wie erklären sich die teilweise heftigen Preisunterschiede einzelner SSL/TLS-Zertifikate?

Wenn Sie ein SSL-Zertifikat erwerben wollen, finden Sie Preise ab 15,- Euro; nach oben hin können es auch 349,- oder gar 899,- Euro werden.
SSL-Zertifikate unterscheiden sich in der Validierungsart (domain-, organisations- oder erweitert validierte SSL-Zertifikate), der Browserakzeptanz (diese hängt von der ausstellenden Zertifizierungsstelle ab) und der Zertifikatsart (Einzel-, Wildcard- oder Multidomain-Zertifikate).

Die Preisunterschiede lassen sich wie folgt begründen:

Validierungsart: Je umfangreicher die Validierung ist, desto teurer wird das SSL/TLS-Zertifikat, da der personelle Aufwand für die Prüfung des Zertifikatsinhabers größer wird. Dabei gilt: domainvalidierte SSL-Zertifikate stellen die niedrigste Validierungsstufe und Erweitert Validierte SSL-Zertifikate die höchste dar. Dementsprechend ist auch die Preisgestaltung.

Browserakzeptanz: Je länger eine Zertifizierungsstelle auf dem Markt agiert, umso mehr Root-Zertifikate sind in unterschiedlichen Browsern und Betriebssystemen, auch älteren, enthalten. Dies steigert die Browserakzeptanz der ausgestellten SSL/TLS-Zertifikate.


Zertifiaktsart: Einzelzertifikate, welche nur eine Domain absichern, sind am günstigten und Wildcard-SSL-Zertifikate am teuersten, die unbegrenzt viele Subdomains einer Domain absichern können. Multidomain-SSL/TLS-Zertifikate liegen preislich dazwischen und sichern mehrere (bis zu 100) unterschiedliche Domains oder Subdomains ab.


Ein weiterer Faktor für die heftigen Preisunterschiede ist natürlich die Preispolitik der jeweiligen CA.

Ich habe gelesen, dass pro IP-Adresse nur ein Zertifikat ausgestellt werden kann. Wo liegt der Zusammenhang zwischen IP-Adresse und SSL-Zertifikat? Was bedeutet SNI?
Der verschlüsselte Verbindungsaufbau zwischen Client und Server findet bereits statt, bevor die URL, die angefragt wird, überhaupt übertragen wird – dass Sie Ihre Verbindung zum Server über SSL sichern, ist bereits klar, bevor die Verbindung steht. Deshalb erlaubt es die SSL-Verschlüsselung eigentlich nicht, verschiedene Domains unter einer IP-Adresse nutzen zu können (Virtual Hosts). Der Server wüsste dann nicht, welches Zertifikat benutzt werden soll, gilt doch jedes Zertifikat immer nur für eine Domain.Server Name Indication (SNI), eine vergleichsweise junge Technologie, möchte es künftig ändern, dass pro IP-Adresse nur ein SSL-Zertifikat ausgestellt werden kann. Sie können seit einigen Jahren unterschiedliche Zertifikate auf denselben IP hosten. Server und Client müssen allerdings so aktuell sein, dass sie dieses Verfahren unterstützen. Diesen Anforderungen hält im Wesentlichen der Internet Explorer unter Windows XP nicht mehr stand, alle anderen Browser sind bereits soweit. Für diesen Fall empfiehlt es sich, wenn Sie im nicht-verschlüsselten Part Ihrer Website auf eine Browserweiche setzen, die dem Besucher die Nutzung einer aktuelleren Browserversion nahelegt. Serverseitige Unterstützung finden Sie bei diesen Produkten: Ubuntu ab 10.04, Debian ab 6.x, Plesk ab 10.3, CentOS 5 mit Plesk oder ab Version 6.  Kommt SNI für Sie nicht infrage, um Nutzer älterer Browser  nicht auszusperren, sind Multidomainzerifikate für Sie denkbar.
NACH OBEN
Zertifizierer