Brauche ich SSL?

SSL (engl. Secure Socket Layer), die Vorgängerbezeichnung von TLS, sorgt für eine Verschlüsselung des Datenstroms und für die sichere Identifikation des Webservers.

Ob man auf SSL verzichten kann oder es dringend empfehlen muss, hängt davon ab, wie sensibel die Daten sind und wie sicher oder unsicher die Umgebung ist (vom Browser übers Internet bis zum Server). Solange nur Sie nur die CMS-Oberfläche in einer Umgebung nutzen, die Sie als sicher einstufen, sind die Faktoren leichter absehbar. Wenn Sie einen Shop betreiben haben Sie es vielleicht mit sensiblen Daten Ihrer Kunden zu tun und wissen nicht, ob deren Umgebung als sicher einzustufen ist.

Auch wenn Sie keinen Shop oder keinen internen Bereich betreiben so empfehlen wir zumindest für das CMS die Nutzung von SSL. Das CMS kann SSL verwenden um alle Eingaben vor den Ohren Mitlauschender zu schützen. Jeder Klartext, der über Internetleitungen fliesst, kann durch sogenannte Netzwerksniffer protokolliert und ausgewertet werden. Das kann auf der Browserseite passieren (zB. kompromittiertes Firmennetz), aber auch auf dem Server (zB. Serverfarmen, bei dem ein anderer Server Schadsoftware verwendet, die den Verkehr der anderen Server belauscht) und prinzipiell auch dazwischen.

In Gefahr sind vor allem Passwörter und Sitzungen. Problematisch ist das in unsicheren Browser-Umgebungen (Internetcafé), aber dort lauern sowieso auch andere Gefahren (zB. Keylogger, also Programme, die die Tastatureingaben mitschneiden). Die Infrastruktur des Internets ist meist in der Hand grosser Dienstleister, die als sicher angenommen werden können. Bei den Servern kommt es auf die Konfiguration und Restriktionen der Server und Massnahmen des Providers an.

Das CMS kann auch ohne SSL betrieben werden, aber wir empfehlen es nicht. Zur Verschlüsselung reichen bereits selbstsignierte Zertifikate. Viele Provider bieten auch die Nutzung eines SSL-Proxyservers an. In beiden Fällen entfallen die Kosten für ein eigenes öffentlich anerkanntes Zertifikat.

Wenn Sie SSL für die Besucher Ihrer Webseiten einsetzen wollen (zB. für interne Bereiche oder für Shops), so sollten Sie besser keine selbstsignierten Zertifikate einsetzen, da dies auf dem Browser des Besuchers zu Warnungen führt, die Ihre Besucher verunsichern können. Der Zertifikate der Proxyserver sind in der Regel gut akzeptiert. Eigene öffentliche Zertifikate haben darüber hinaus den Vorteil, dass Ihr Besucher weiss, dass er noch mit Ihrem Server verbunden ist. Dies erweckt Vertrauen.