Suche in diesem Bereich
Es gibt drei Typen von TLS/SSL-Zertifikaten:
Die Zertifikate unterscheiden sich im Grad der Sicherheit, die durch unterschiedlich intensive Validierungsprozesse seitens der ausstellenden Behörde (CA) gewährleistet wird.
Mit welchem Zertifikats-Typ eine Webseite gesichert ist, ist durch das Schlosssymbol in der Browserleiste und je nach Validierungsart unterschiedlichen Zusatzinformationen ersichtlich.
Wichtiger Hinweis
Bei allen Problemen mit der Verifizierung sendet die CA eine E-Mail an den administrativen Kontakt, in der das Problem beschrieben und das weitere Vorgehen erläutert wird. Diese Benachrichtigung wird nur einmal von den CAs verschickt. Reagiere umgehend auf die E-Mail, da der Auftrag nach einiger Zeit storniert wird.
Domain-validierten Zertifikate bieten dem Nutzer eingeschränkte Sicherheit, da der Betreiber der Webseite für den Nutzer im Gegensatz zu den anderen Zertifikats-Typen nicht ersichtlich ist.
Ausstellungsdauer des Zertifikates: 1-2 Tage
Durch eine der Authentifizierungs-Methoden wird geprüft, ob der Antragsteller auch der Inhaber der Domain ist.
Die Überprüfung wird mittels einer Bestätigungs-E-Mail durchgeführt, die die CA an eine vom Antragsteller festgelegte Empfängeradresse sendet. Diese E-Mail enthält einen Link zur Bestätigung der Bestellung, der vom Empfänger angeklickt werden muss. Alternativ kann diese Validierung auch über DNS-Auth und File-Auth erfolgen. Ist die Bestätigung erfolgt, wird das Zertifikat innerhalb weniger Minuten ausgestellt. Da bei diesem Zertifikats-Typ keine weitere Prüfung stattfindet, gibt es innerhalb des Zertifikats neben der Darstellung des Common Name keine weiteren Informationen über den Website-Besitzer.
In der Adresszeile des Browsers erscheint bei den DV-Zertifikaten das Schloss ohne den Unternehmensnamen.
Browser Firefox
Bei OV-Zertifikaten wird zusätzlich zum dem Schlosssymbol in der Browser-Leiste in den Zertifikats-Details auch der Besitzer der Webseite angegeben. Das gibt den Besuchern der Seite die Sicherheit, dass es sich beim Betreiber der Seite um ein existierendes Unternehmen handelt.
Ausstellungsdauer des Zertifikates: 3 - 4 Tage
Nur bei Sectigo und den dazugehörigen Subbrands positiveSSL, instantSSL:
Für OV und EV Zertifikate muss dem 'Sectigo Certificate Subscriber Agreement' online zugestimmt werden. Der Admin Kontakt erhält hierfür eine E-Mail mit einem ‘Agreement link’.
Das wird geprüft
Es werden der Besitz der Domain, die Existenz des Unternehmens und die Befugnis des Benutzers überprüft, das Zertifikat zu beantragen.
Durch eine der Authentifizierungs-Methoden (E-Mail, DNS oder File) wird geprüft, ob der Antragsteller auch der Inhaber der Domain ist.
Nach der Domain-Inhaber-Prüfung wird das Unternehmen anhand des Eintrages im Handelsregister bzw. vergleichbarer Register anderer Ländern überprüft.
Zuletzt erfolgt eine telefonische Verifizierung (Verification Call). Dafür wird eine Telefonnummer des Unternehmens aus einem öffentlichen Verzeichnis des jeweiligen Landes verwendet. Da in den öffentlichen Telefonverzeichnissen im Regelfall die Nummer der Zentrale eingetragen ist, sollte diese über die zu erwartenden Anrufe informiert sein. Die Anrufe erfolgen in der Regel in Englisch und während der Geschäftszeiten.
Die CAs versuchen mehrfach den im Antrag genannten Ansprechpartner (Corporate Contact) zu erreichen. Ist dies nicht möglich, sendet sie diesem eine E-Mail, in der das weitere Vorgehen erklärt ist. Es kann auch eine Sprachnachricht mit einem Sicherheitsode hinterlassen werden, mit dem der Ansprechpartner das Gespräch beantworten und damit die Verifizierung abschließen kann.
Es ist möglich, direkt mit DigiCert einen Termin für die Anrufe zu vereinbaren.
Bitte beachte, dass die Unternehmens-Validierung unbedingt abgeschlossen sein muss, bevor ein Anruf geplant wird!
Geh hierzu auf https://digicert.simplybook.me/v2/#book, wähle einen für dich passenden Termin und melde dich mit Deinem Namen und der bei der Bestellung verwendeten E-Mail-Adresse an. Füge idealerweise noch die OrderID ein. Diese findest du im SSL Manager oder in der Bestätigungs-E-Mail der CA bei Annahme des Auftrages.
In der Adresszeile des Browsers erscheint das Schlosssymbol ohne den Unternehmensnamen, der aber in den Zertifikatsdetails genannt wird.
Die Zertifikate mit Extended Validation (EV) sind durch erweiterte Validierung und Regelementierungen bei der Ausstellung die vertrauenswürdigsten Zertifikate für Websites. Für den Nutzer der Webseite ist sofort ersichtlich, dass ein Zertifikat aktiv ist und wer der Betreiber der Website ist.
Ausstellungsdauer des Zertifikates: 5 - 7 Tage
Nur bei Sectigo und den dazugehörigen Subbrands positiveSSL, instantSSL:
Für OV und EV Zertifikate muss dem 'Sectigo Certificate Subscriber Agreement' online zugestimmt werden. Der Admin Kontakt erhält hierfür eine E-Mail mit einem ‘Agreement link’.
Zunächst wird geprüft, ob der Antragsteller auch der Inhaber der Domain ist. Dann wird die Existenz des Unternehmens und die Befugnis des Benutzers überprüft, das Zertifikat zu beantragen. Die Prüfung ist intensiver als bei OV-validierten Zertifikaten. Durch die intensive Überprüfung sind die Zertifikate mit der erweiterten Validierung (EV) die für Kunden vertrauenswürdigsten Zertifikate für Webseiten.
Durch eine der Authentifizierungs-Methoden (E-Mail, DNS, File) wird geprüft, ob der Antragsteller auch der Inhaber der Domain ist.
Das Unternehmen wird anhand des Eintrages im Handelsregister bzw. vergleichbarer Register anderer Ländern überprüft. Dabei wird die Übereinstimmung von Firmen- und Adressdaten geprüft.
Zuletzt erfolgt eine telefonische Verifikation, durch drei sog. Verification Calls. Dafür werden Telefonnummern des Unternehmens aus öffentlichen Verzeichnissen des jeweiligen Landes verwendet. Da in den öffentlichen Telefonverzeichnissen im Regelfall die Nummer der Zentrale eingetragen ist, sollte diese über die zu erwartenden Anrufe informiert sein. Die Anrufe erfolgen in der Regel in Englisch und während der Geschäftszeiten.
Die CAs versuchen mehrfach den im Antrag genannten Ansprechpartner (Corporate Contact) zu erreichen. Ist dies nicht möglich, sendet sie diesem eine E-Mail, in der das weitere Vorgehen erklärt ist.
Seit Kurzem ist es möglich direkt mit DigiCert einen Termin für die Anrufe zu vereinbaren. Gehe hierzu auf https://digicert.simplybook.me/v2/#book, wähle einen für dich passenden Termin und melden dich mit Deinem Namen und der bei der Bestellung verwendeten E-Mail-Adresse an. Füge idealerweise noch die OrderID ein. Diese findest du im SSL Manager oder in der Bestätigungs-E-Mail der CA bei Annahme des Auftrages.
Einschränkungen für EV-Zertifikate
Im Gegensatz zu den beiden anderen Zertifikats-Typen wird in der Adressleiste des Browsers nicht nur das kleine Schlosssymbol angezeigt, sondern auch der Betreiber der Seite.
Chrome | |
Internet Explorer | |
Firefox |
Durch einen Klick auf den SSL-Bereich erhält der Kunde weitere Informationen über den Betreiber.