Die sich immer weiter ausbreitende digitale Landschaft erfordert eine sichere Online-Kommunikation und Datenschutz. Eine Technologie, die eine entscheidende Rolle bei der Sicherung unserer Online-Transaktionen und des Informationsaustauschs gespielt hat, sind die SSL/TLS-Protokolle und die digitalen Zertifikate, die sie verwenden. In den letzten zwei Jahrzehnten haben sich SSL-Zertifikate weiterentwickelt und an die wachsende Komplexität der Cybersicherheit angepasst, so dass sie zu einer entscheidenden Komponente der Online-Sicherheit geworden sind.
Die Mitte der 1990er Jahre eingeführten SSL-Zertifikate revolutionierten die Art und Weise, wie wir Informationen über das Internet übertragen. Ursprünglich entwickelt, um die Übertragung sensibler Daten wie Kreditkartendaten und Passwörter zu sichern, sind sie inzwischen zu einem unverzichtbaren Instrument geworden, um Vertrauen, Privatsphäre und Verschlüsselung bei Online-Interaktionen herzustellen. Dieser Artikel befasst sich mit der Geschichte der SSL-Zertifikate und verfolgt ihre Entwicklung von den Anfängen bis zu ihren modernen Erscheinungsformen. Sie untersucht auch die wichtigsten Meilensteine, die ihre Entwicklung geprägt haben.
Inhaltsübersicht
- SSL- und TLS-Geschichte – Ein Spaziergang durch die Erinnerungsspur
- Die Entwicklung von SSL-Zertifikaten in den späten Neunzigern
- Die Entwicklung von SSL-Zertifikaten zu Beginn des 21. Jahrhunderts
- Die Entwicklung von SSL-Zertifikaten im letzten Jahrzehnt
- Was bringt die Zukunft für SSL-Zertifikate?
- Unterm Strich
SSL- und TLS-Geschichte – Ein Spaziergang durch die Erinnerungsspur
Als John Wainwright, ein im Silicon Valley ansässiger Informatiker, das allererste Buch bei Amazon bestellte, konnte er nicht ahnen, dass ein Gebäude nach ihm benannt werden würde. Aber genau das ist es, was das größte Einzelhandelsunternehmen der Welt an seinem allerersten nicht angestellten Kunden schätzt.
Seit den späten neunziger Jahren, als der Online-Handel noch in den Kinderschuhen steckte, hat Amazon einen gigantischen Sprung gemacht und verkauft heute jedes Jahr Millionen von Büchern. Doch was Wainwright vor 25 Jahren tat, wäre ohne eine andere Technologie im Hintergrund nicht möglich gewesen. Eine Technologie, die so grundlegend für die Entwicklung des Internets und die Online-Transaktionen ist, dass keine Website mehr ohne sie auskommt. Es geht um kryptografische Protokolle und SSL/TLS-Zertifikate – die Web-Sicherheitselemente, die die Internet-Revolution ermöglicht haben.
Zu der Zeit, als die ersten Browser das World Wide Web populär machten, war der Bedarf an sicheren Zahlungen ein dringendes Anliegen. Irgendwo in der Zentrale von Netscape, einem der damals größten Computerdienstleister, entwarf Taher Egmal, ein ägyptischer Kryptograph und leitender Wissenschaftler von Netscape, das allererste Secure Sockets Layer (SSL)-Internetprotokoll.
Die Entwicklung von SSL-Zertifikaten in den späten Neunzigern
Ohne die Möglichkeit, es in der realen Welt zu testen, war SSL 1.0 ein völliger Reinfall. Die erste Version war mit Verschlüsselungsfehlern und Sicherheitslücken behaftet und wurde nie in Betrieb genommen. Netscape entwickelte das SSL-Protokoll weiter und veröffentlichte im Februar 1995 SSL 2.0. Sie wurde mit dem Navigator-Browser von Netscape ausgeliefert und blieb nur ein Jahr lang in Gebrauch, bis Hacker und Sicherheitsexperten sie wieder entlarvten.
Zur gleichen Zeit beschloss Microsoft, das SSL-2-Protokoll mit einigen eigenen Ergänzungen zu überarbeiten und veröffentlichte die erste Version des PCT-Protokolls (Private Communication Technology). Es kam jedoch nie richtig in Schwung und wurde nur in IE und IIS unterstützt.
Netscape bemühte sich um die Entwicklung von SSL 3.0, was dem Web endlich ein wenig Stabilität und Luft zum Atmen verschaffte. Erst 1999 wurde ein scheinbar brandneues TLS-Protokoll (Transport Layer Security) 1.0 bekannt. In Wirklichkeit war TLS fast identisch mit SSL 3.0 und eher ein Kompromiss zwischen den erbitterten Konkurrenten Netscape und Microsoft, als eine Abweichung von SSL 3.0.
Wie sich Tim Dierks, der Verfasser der SSL 3.0-Referenzimplementierung, erinnert, handelten Netscape und Microsoft eine Vereinbarung aus, wonach beide die Übernahme des Protokolls durch die IETF (Internet Engineering Task Force) und dessen Standardisierung in einem offenen Prozess unterstützen würden.
“Als Teil des Korsetts mussten wir einige Änderungen an SSL 3.0 vornehmen (damit es nicht so aussah, als würde die IETF das Protokoll von Netscape einfach absegnen), und wir mussten das Protokoll umbenennen (aus demselben Grund). Und so wurde TLS 1.0 geboren (das eigentlich SSL 3.1 war). Und natürlich sieht die ganze Sache jetzt, im Nachhinein, albern aus.”
Es dauerte drei Jahre, bis die IETF-Gruppe TLS 1.0 veröffentlichte. Die SSL/TLS-Verwirrung dauert bis heute an.
Die Entwicklung von SSL-Zertifikaten zu Beginn des 21. Jahrhunderts
Zu Beginn des neuen Jahrtausends waren SSL-Zertifikate so rar wie Bäume in der Wüste. Die Zertifizierungsstellen verlangten Hunderte von Dollar für die Business Validation, die damals einzige verfügbare Option. Das war eine ziemliche Investition für E-Commerce-Unternehmen, die in die unbekannten Gewässer der Online-Welt eintauchten.
Der Bedarf an einer schnelleren und einfacheren Validierung war offensichtlich. Im Jahr 2002 war GeoTrust die erste Zertifizierungsstelle, die Domain Validation-Zertifikate verteilte, ein Schritt, der die SSL-Landschaft schließlich für immer verändern sollte. Diese Zertifikate waren schneller und billiger, konnten jede Art von Website verschlüsseln und wurden schließlich zur treibenden Kraft hinter der HTTPS-Revolution.
Fünf Jahre später, im Jahr 2007, prägte eine weitere bahnbrechende Innovation die SSL-Branche. Mit dem Aufkommen der Extended Validation-Zertifikate konnten die Unternehmen den Internetnutzern die Gewissheit geben, dass die Website, auf die sie zugreifen, tatsächlich von einer juristischen Person kontrolliert wird. Die inzwischen berühmte grüne EV-Adressleiste half den Unternehmen, sich bei ihren Kunden besser zu identifizieren, und erschwerte Phishing-Angriffe mit SSL-Zertifikaten.
In der Zwischenzeit veröffentlichte die IETF 2006 TLS 1.1, um dem BEAST-Angriff zu begegnen, und 2008 TLS 1.2, dessen wichtigste neue Funktion die authentifizierte Verschlüsselung (AEAD) ist. Obwohl dies ein bedeutender Durchbruch in der Online-Kryptografie ist, würde es noch Jahre dauern, bis die wichtigsten Browser und Server dies ermöglichen. Chrome hat im August 2013 Unterstützung für TLS 1.2 hinzugefügt. Zu diesem Zeitpunkt hatte die IEFT bereits mit der Ausarbeitung des Protokolls TLS 1.3 begonnen.
Da sich das Internet schnell entwickelt und die Zahl der Cyberangriffe mit seinem Wachstum Schritt hält, schien die Notwendigkeit einer groß angelegten Verschlüsselung der logische Schritt zu einem sichereren Internet zu sein. Hier kommt Google ins Spiel, der wohl größte Befürworter der HTTPS-Umstellung.
Die Entwicklung von SSL-Zertifikaten im letzten Jahrzehnt
Im Jahr 2014 nahm die Geschichte von SSL eine neue Wendung, als Google ankündigte, dass es allen sicheren Websites einen SEO-Schub geben würde. Und da zu dieser Zeit alle von SEO besessen waren, wechselten Websites, die sonst nicht einmal in die Nähe eines SSL-Zertifikats kommen würden, von HTTP zu HTTPS, um auch nur den kleinsten Vorteil gegenüber der Konkurrenz zu erlangen. Dieser Schritt leitete den Aufstieg von HTTPS und eine neue Ära für das SSL/TLS-Ökosystem ein.
Kurz nach Googles Anreiz verschenkte Cloudflare, der beliebte Content-Delivery-Network-Dienst, kostenlose Zertifikate an seine über zwei Millionen Nutzer.
Im Jahr 2015 gab es drei wichtige Entwicklungen in der SSL/TLS-Welt. Erstens wurde die Gültigkeit der nach dem 1. April ausgestellten Bescheinigungen von fünf auf drei Jahre verkürzt. Die kürzere Lebensdauer wurde bereits 2012 in den ersten grundlegenden Anforderungen für die Ausstellung und Verwaltung von öffentlich vertrauenswürdigen Zertifikaten festgelegt.
Let’s Encrypt ist da, SSL ist veraltet
Einige Monate später, im November, brachte die Open-Source-Zertifizierungsstelle Let’s Encrypt kostenlose SSL-Zertifikate mit Domainvalidierung und automatischer Ausstellung für jedermann heraus. Mit der Unterstützung von Google, Facebook und Mozilla wurde Let’s Encrypt schnell zu einer beliebten Wahl für einfache Websites, Blogs und Online-Portfolios.
Im selben Jahr wurde das SSL-Protokoll von der IETF veraltet, aber es sollte noch Jahre dauern, bis ältere Server es vollständig deaktivierten.
Im Jahr 2016 hat die HTTPS-Verschlüsselung im gesamten Internet die 50 %-Marke erreicht. Obwohl dies damals eine große Leistung war, war die Arbeit erst zur Hälfte erledigt. Das Ziel von Google war es, das gesamte Web zu sichern. Dies würde etwas Radikaleres als einen kleinen SEO-Schub erfordern. Und wie immer haben die klugen Köpfe im Silicon Valley eine einfache und effiziente Lösung gefunden.
Browser beginnen mit der Blockierung von HTTP-Inhalten
Mit der Veröffentlichung von Chrome 68 im Jahr 2018 begann der Browser, alle unverschlüsselten HTTPS-Seiten als nicht sicher zu kennzeichnen. Mozilla folgte diesem Beispiel, und plötzlich wurden SSL-Zertifikate von einem reinen SEO-Anreiz zu einer absoluten Notwendigkeit für alle Arten von Websites. Da sich die Betreiber beeilten, ihre Websites zu sichern und die ominöse Warnung zu vermeiden, stieg die HTTPS-Verschlüsselung im gesamten Internet auf 80 % an.
Die SSL-Zertifikate waren nun die neue Norm. Ein unverzichtbares Element für den Aufbau und die Sicherheit einer Website. Von hier an sollte die Entwicklung von HTTPS eine neue Richtung einschlagen. In seiner nächsten Version wird Chrome 69 das Sicherheitssymbol von HTTPS-Websites entfernen und nur noch das Vorhängeschloss als einzigen Indikator anzeigen.
Damit hat Google seine Haltung gegenüber verschlüsselten Websites erneut grundlegend geändert. In der Vergangenheit hat sie Belohnungen angeboten, um die Umstellung auf HTTPS zu fördern. Jetzt wurde der umgekehrte Weg eingeschlagen und die unverschlüsselten Websites bestraft. Der grüne Balken der Erweiterten Validierung überlebte, aber auch seine Zeit würde bald zu Ende gehen.
TLS 1.3 Freigabedatum
Inmitten dieser kritischen Änderungen veröffentlichte die IETF das lang erwartete Protokoll TLS 1.3. Die Entwicklung dauerte fünf Jahre und kam ein Jahrzehnt nach der Vorgängerversion TLS 1.2, aber das Warten hat sich gelohnt. Mit TLS 1.3, das im August 2018 veröffentlicht wurde, wurden eine Reihe von alten Chiffren und Algorithmen entfernt und die Geschwindigkeit des TLS-Handshakes um die Hälfte reduziert. Wie bei den früheren Versionen würde die Einführung nur langsam erfolgen.
Das ereignisreiche Jahr 2018 war von einer weiteren entscheidenden Entwicklung in der SSL-Landschaft geprägt. Die sich ständig ändernde SSL-Gültigkeit wurde erneut reduziert, diesmal für nur zwei Jahre. Die neue Einschränkung ermöglichte es, dass SSL-Zertifikate abliefen und häufiger neu ausgestellt wurden, wodurch die Zertifizierungsstellen die gesamte SSL/TLS-Umgebung besser kontrollieren konnten.
Nach einem langen Spaziergang in die Vergangenheit sind wir endlich in der Gegenwart angekommen. In der Online-Welt hat die HTTPS-Verschlüsselung im Internet die 95 %-Marke überschritten. Das Ziel von Google, das gesamte Internet zu sichern, ist nun Realität.
HTTPS-Änderungen nach 2020
Die Browser normalisieren die HTTPS-Verbindung weiter und machen sie neutraler. In ihrem letzten Schritt haben sowohl Chrome als auch Firefox die Anzeige für die erweiterte Gültigkeitsprüfung aus ihren Adressleisten entfernt und sie in das Informationsfeld für Zertifikate verschoben. Google führte interne und externe Untersuchungen durch und stellte fest, dass der EV-Indikator nicht in effizienter Weise Informationen über die Identität und Sicherheit einer Website vermittelt. Außerdem nehmen sie zu viel Platz ein und können verwirrende Firmennamen enthalten. Dennoch bedeutet die Entfernung des EV-Indikators nicht das Ende der Extended Validation-Zertifikate. Ihr Hauptnutzen bleibt die umfassende Überprüfung der Identität des Unternehmens.
In der Zwischenzeit nahm die Gültigkeit von SSL weiter ab. Dieses Mal war Apple an der Reihe und verkürzte den Zyklus der Zertifikate für seinen Safari-Browser einstimmig auf nur ein Jahr. Die neue Änderung tritt am 1. September in Kraft. Da Safari der zweitbeliebteste Browser im Internet ist, folgten seine Konkurrenten der Entscheidung von Apple. Durch die einjährige Gültigkeit wird das Zeitfenster für Cyberangriffe weiter verkleinert, da regelmäßig neue Schlüssel generiert werden. All diese Änderungen haben erneut die sich ständig verändernde Natur der SSL-Geschichte unterstrichen.
Was bringt die Zukunft für SSL-Zertifikate?
Mit der universellen Verschlüsselung geht eine größere Verantwortung für den Schutz der sensiblen Daten der Nutzer vor anhaltenden Cyberangriffen einher. Auch wenn die Schwachstellen älterer Protokolle in den späteren Versionen ausgemerzt wurden, wird das Risiko neuer Sicherheitsbedrohungen so lange hoch bleiben, wie sich das Internet weiterentwickelt.
Viele FinTech-Experten haben Blockchain als möglichen SSL-Ersatz vorgeschlagen. Vereinfacht ausgedrückt ist eine Blockchain eine Datenbankstruktur, die Informationen in Stapeln, den so genannten Blöcken, speichert, die nacheinander zu einer Kette von Blöcken verbunden sind. Jede Kette ist ein öffentliches Hauptbuch, in dem Transaktionen anonym aufgezeichnet und bestätigt werden. Eines der bekanntesten Beispiele für die Blockchain ist die Kryptowährung Bitcoin. Aber wie kann Blockchain die Web-Verschlüsselung verbessern?
Zunächst können einzelne Parteien damit eindeutige kryptografische Schlüssel generieren, mit denen Informationen überprüft werden können und die eine sichere Kommunikation ermöglichen. Es gibt bereits mehrere Blockchain-basierte SSL-Zertifikate auf dem Markt. Diese Zertifikate eliminieren die Zertifizierungsstellen (menschlicher Faktor) aus digitalen Transaktionen und gewährleisten eine stärkere Authentifizierung.
Ein solches System ist Remme. Das verteilte Public Key Infrastructure-Protokoll weist einzelnen Geräten wie Smartphones oder PCs SSL-Zertifikate zu und speichert die Zertifikatsinformationen in einer sicheren, Blockchain-fähigen Datenbank.
Obwohl die Blockchain als bester SSL-Ersatz angepriesen wird, könnte die Herausnahme der Zertifizierungsstellen aus der Gleichung das Gegenteil bewirken. Die Technologie steckt noch in den Kinderschuhen, und bis die Entwickler ihre Effizienz und Stabilität bei der Bereitstellung von dezentralem Vertrauen unter Beweis stellen können, werden die stark regulierten Zertifizierungsstellen weiterhin die Legitimität der Inhaber von Zertifikaten überprüfen.
Wie ein altes Sprichwort sagt: Was nicht kaputt ist, soll man nicht reparieren. Das soll nicht heißen, dass die CAs nicht auch ihre Probleme und Versuche hatten, aber ihr ununterbrochener Fortschritt hat die SSL-Branche zu einem viel sichereren Ort gemacht. Heute bieten die führenden CAs eine breite Palette von Zertifikatsverwaltungs- und Automatisierungsoptionen an, die Unternehmen bei der effizienten Verwaltung von Tausenden von Zertifikatszyklen unterstützen.
Sowohl die Browser als auch die Zertifizierungsstellen sind von der Sicherheit von SSL so überzeugt, dass Google beabsichtigt, das Vorhängeschloss-Symbol zu entfernen – den letzten verbliebenen Hinweis auf eine sichere Website. Bislang sind alle Absichten von Google in Erfüllung gegangen. Das Ende des SSL-Vorhängeschlosses wird die HTTPS-Revolution zu einer Erfolgsgeschichte machen und ein wichtiges Kapitel in der noch jungen Geschichte des Internets darstellen.
Unterm Strich
Seit der Einführung des ersten SSL-Protokolls sind fast drei Jahrzehnte vergangen. Das gesamte Internet hat sich seit den Anfängen des Browsers stark weiterentwickelt und ist heute eine völlig andere Umgebung. Die Webverschlüsselung ist inzwischen allgegenwärtig. Die älteren SSL- und TLS-Protokolle sind veraltet und machen Platz für die neueste Version TLS 1.3.
Die SSL-Geschichte hat uns gelehrt, wie wichtig Verschlüsselung, Authentifizierung, Anpassungsfähigkeit, Industriestandards, Benutzerfreundlichkeit, Zugänglichkeit und die ständige Weiterentwicklung der Sicherheit sind. Diese Erkenntnisse liefern wertvolle Einsichten in unserem Bestreben, eine sicherere digitale Welt für Einzelpersonen, Unternehmen und Organisationen weltweit zu schaffen.
Sparen Sie 10% auf SSL-Zertifikate, wenn Sie noch heute bestellen!
Schnelle Ausstellung, starke Verschlüsselung, 99,99% Browser-Vertrauen, engagierter Support und 25-tägige Geld-zurück-Garantie. Gutscheincode: SAVE10