Ein Blick auf die von der Kommission übermittelten Zahlen Fevad
Es versteht sich von selbst, dass der französische E-Commerce sehr gut läuft:
- Im Jahr 2015 wuchs der Online-Umsatz um 14,3 %.
- Für 2016 prognostiziert Fevad einen E-Commerce-Umsatz von über 70 Milliarden Euro.
Infolgedessen findet eine beträchtliche Anzahl von Bankgeschäften und Zahlungen online statt, und damit werden auch immer mehr persönliche Daten über das Internet übermittelt. Die
Website-Sicherheit
muss daher im Mittelpunkt des Interesses eines Unternehmens stehen.
Es gibt mehrere Sicherheitsstufen. Doch zwischen dem HTTPS-Protokoll, den grünen, orangefarbenen oder grauen Vorhängeschlössern und der grün hervorgehobenen Adressleiste des Browsers kann es schwierig sein zu verstehen, was die einzelnen visuellen Bestätigungen bedeuten, die die Internetnutzer in unterschiedlichem Maße beruhigen.
Überblick über die verschiedenen Möglichkeiten zur Gewährleistung einer sicheren Website
Das HTTPS-Protokoll
HyperText Transfer Protocol Secure, abgekürzt HTTPS, ist die sichere Version von HTTP, dem Protokoll, über das Daten zwischen Ihrem Browser und der Website, mit der Sie verbunden sind, gesendet werden.
Das „S“ am Ende von HTTPS steht für „Secure“. Es zeigt an, dass die gesamte Kommunikation zwischen Ihrem Browser und der Website verschlüsselt ist. Aus diesem Grund wird HTTPS häufig verwendet, um sehr vertrauliche Online-Transaktionen wie Bankgeschäfte und Bestellformulare im elektronischen Handel zu schützen.
Wie funktioniert HTTPS?
HTTPS-Seiten verwenden Secure Sockets Layer (SSL) zur Verschlüsselung der Kommunikation. Dieses Protokoll verwendet ein „asymmetrisches“ Public Key Infrastructure (PKI)-System.
Ein asymmetrisches System verwendet zwei „Schlüssel“ zur Verschlüsselung der Kommunikation: einen „öffentlichen“ Schlüssel und einen „privaten“ Schlüssel. In der Praxis kann alles, was mit dem öffentlichen Schlüssel verschlüsselt wurde, nur mit dem privaten Schlüssel entschlüsselt werden und umgekehrt.
Wie der Name schon sagt, muss der „private“ Schlüssel streng geschützt werden und darf nur seinem Besitzer zugänglich sein. Im Falle einer Website bleibt der private Schlüssel sicher auf dem Webserver. Umgekehrt soll der öffentliche Schlüssel an jeden weitergegeben werden, der mit dem privaten Schlüssel verschlüsselte Informationen entschlüsseln muss.
Was ist ein HTTPS-Zertifikat?
Wenn Sie eine HTTPS-Verbindung zu einer Webseite anfordern, sendet die Website zunächst ihr SSL-Zertifikat an Ihren Browser. Dieses Zertifikat enthält den öffentlichen Schlüssel, der zum Starten der sicheren Sitzung benötigt wird.
Auf der Grundlage dieses ersten Austauschs leiten Ihr Browser und die Website dann das SSL-Handshake-Protokoll ein. Dies beinhaltet die Erzeugung gemeinsamer Geheimnisse, um eine einzigartige Verbindung zwischen dem Nutzer und der Website herzustellen.
Warum ist ein SSL-Zertifikat erforderlich?
Alle über Standard-HTTP-Anfragen gesendeten Mitteilungen werden unverschlüsselt übertragen und können von einer böswilligen Person leicht abgefangen und gelesen werden. Die Gefahr liegt auf der Hand, wenn die „Kommunikation“ auf einer E-Commerce-Website im Hinblick auf Banktransaktionen und damit verbundene Kreditkartencodes stattfindet. Sie bleibt aber auf jeder Art von Website, die eine Authentifizierung erfordert. Ohne HTTPS werden Logins/Passwörter beim Client/Server-Austausch unverschlüsselt im Klartext übertragen.
Mit einer HTTPS-Verbindung wird die gesamte Kommunikation sicher verschlüsselt. Selbst wenn es jemandem gelingt, in die Verbindung einzudringen, kann er also die zwischen dem Nutzer und der Website ausgetauschten Daten nicht entschlüsseln.
Beachten Sie, dass es möglich ist, HTTPS nur für den Transaktionsteil Ihrer E-Commerce-Website zu verwenden.
Anzeige einer SSL-Verbindung im Browser: grünes Vorhängeschloss
Um SSL zu verwenden, kauft ein Webmaster ein Zertifikat von einer Zertifizierungsstelle und installiert es auf seinem Webserver. Beim Besuch der Website liest ein Webbrowser das Serverzertifikat und verwendet dessen Schlüsselinformationen, um eine verschlüsselte Verbindung zwischen dem Browser und dem Server herzustellen.
Jeder der modernen Webbrowser, Internet Explorer, Chrome und Firefox, informiert die Nutzer durch Symbole, Farben oder andere visuelle Hinweise, dass SSL aktiv ist.
Wenn beispielsweise bei einer HTTPS-Verbindung ein sicheres SSL-Zertifikat verwendet wird, sehen die Benutzer ein Vorhängeschloss in der Adressleiste des Browsers.
Die Anzeige oder Farbe des Vorhängeschlosses hängt von der Art des auf der Website verwendeten SSL-Zertifikats, aber auch vom Webbrowser ab.
Vorteile von HTTPS und dem SSL-Zertifikat
- Kundeninformationen, wie z. B. Kreditkartennummern, werden mit HTTPS verschlüsselt und können nicht abgefangen werden.
- Besucher Ihrer Website oder Ihrer E-Commerce-Site können sich davon überzeugen, dass Sie ein eingetragenes Unternehmen sind und dass Ihnen die Domäne gehört.
- Kunden vertrauen eher auf E-Commerce-Websites und schließen dort ihre Einkäufe ab, weil das Vorhängeschloss ihnen versichert, dass die Bankzahlung sicher ist.
Die verschiedenen SSL-Zertifizierungen
- Kostenloses, nicht genehmigtes SSL-Zertifikat: Dieses Zertifikat ist kostenlos, wird von der Website selbst signiert und ist nicht auf den Webbrowsern vorinstalliert. Sie impliziert ein geringeres Maß an Vertrauen, weshalb sie nicht empfohlen wird, obwohl die Let’s Encrypt Certificate Authority (CA), die kostenlose SSL-Zertifikate ausstellt, eine zuverlässige Lösung zu sein scheint.
- Zugelassene SSL-Zertifikate: von einer Zertifizierungsstelle unterzeichnet und auf Webbrowsern vorinstalliert. Beachten Sie, dass selbst zugelassene SSL-Zertifikate nicht zu 100 % vertrauenswürdig sind, da die Zertifizierungsstellen nicht verpflichtet sind, ein bestimmtes Verfahren zur Authentifizierung von Unternehmen anzuwenden, die sie um die Unterzeichnung ihrer Zertifikate bitten. Daher können auch böswillige Organisationen eine Signatur für ihr SSL-Zertifikat von einer CA erhalten.
- Extended Validation (EV) SSL-Zertifikat: Das EV-SSL-Zertifikat ist ein E-Commerce-Standard und„erfordert eine weitere Überprüfung der antragstellenden Einrichtung durch die Zertifizierungsstelle, bevor es ausgestellt wird“. Diese erweiterten Validierungszertifikate bieten die höchste Stufe des Vertrauens und der Authentifizierung einer Website. Sie sollen die Sicherheit im elektronischen Handel erhöhen und Phishing-Angriffe abwehren.
6 führende Anbieter von vertrauenswürdigen SSL-Zertifikaten (nicht kostenlos)
- Comodo
- GeoTrust
- Globalsign
- RapidSSL
- Symantec
- Tauwetter
EV SSL-Zertifikat im Fokus: Hochsichere Bankzahlungen
Der EV SSL-Standard, der allen kommerziellen und staatlichen Einrichtungen zur Verfügung steht, entstand aus dem Wunsch von Webbrowser-Anbietern und Zertifizierungsstellen, optimale Sicherheit für Online-Transaktionen zu gewährleisten.
In diesem Sinne haben sie die
CA/Browser Forum
ein freiwilliger Zusammenschluss von Zertifizierungsstellen und Browseranbietern. Gemeinsam legen sie strenge Standards fest, die alle CAs, die das EV SSL-Zertifikat ausstellen, erfüllen müssen.
Das EV-Verfahren ist strenger und detaillierter als jedes andere SSL-Zertifikat und erfordert zusätzliche Schritte, wie z. B. die Einholung von Unterschriften von mehreren Personen innerhalb des antragstellenden Unternehmens oder eine rechtliche Überprüfung der Existenz des Unternehmens.
Sichere Websites müssen einen strengen Authentifizierungsprozess durchlaufen, wie er vom CA/Browser-Forum festgelegt wurde, bevor sie die EV SSL-Zertifizierung erhalten. Die Einrichtung dauert in der Regel mehrere Tage, die Zeit, die für die Validierung aller Schritte des Prozesses benötigt wird.
EV SSL-Zertifikat: Wie verwenden?
Der Betrieb eines EV SSL-Zertifikats kann in 4 Schritte unterteilt werden:
- Unternehmen Y beschließt, die Kommunikation zwischen der Website und dem Antragsteller zu sichern.
- Unternehmen Y bittet eine vertrauenswürdige Drittpartei, den Eigentümer zu überprüfen und ein digitales Zertifikat auszustellen.
- Nach der Überprüfung des Antragstellers stellt die vertrauenswürdige Drittpartei ein Zertifikat aus, das die Identität der Website bescheinigt. So kann der Internetnutzer erkennen, dass es sich bei PayPal um Paypal und nicht um eine bösartige Website handelt.
- Der Webbrowser sieht, dass Unternehmen Y die EV SSL-Verschlüsselung verwendet und fragt das Zertifikat ab, das von einer vertrauenswürdigen dritten Partei für Unternehmen Y ausgestellt wurde. Der Browser zeigt dann den Namen des Unternehmens an, für das das Zertifikat ausgestellt wurde. Wenn es dasselbe ist, wird es grün. Im Falle einer Nicht-Attestierung warnt der Browser den Benutzer, dass die Website möglicherweise nicht die Website ist, die sie vorgibt zu sein, indem er sie in rot anzeigt.
Anzeige einer EV SSL-Verbindung im Webbrowser: grüne Adressleiste und Firmenname
Die Beantragung eines Extended Validation SSL-Zertifikats erfordert eine vollständige Authentifizierung des Unternehmens. Dieses Verfahren stellt sicher, dass die grüne Adressleiste nur mit den vertrauenswürdigsten Unternehmen in Verbindung gebracht wird. Bei Websites, die ein EV-Zertifikat verwenden, ändert sich die Adressleiste des Webbrowsers daher in grün, aber es wird auch der Name der Organisation angezeigt, für die das Zertifikat ausgestellt wurde.
Dieses Sicherheitsmerkmal wurde speziell entwickelt, um dem Benutzer die Möglichkeit zu geben, zu überprüfen, ob die sichere Website tatsächlich von dem Unternehmen betrieben wird, mit dem sie angeblich verbunden ist.
Warum ein EV SSL-Zertifikat?
Das grüne Vorhängeschloss und die Adressleiste des Browsers sowie die Anzeige des Firmennamens tragen dazu bei, das Vertrauen der Verbraucher zu stärken, um Reduzieren Sie die Abbruchraten, erhöhen Sie die Konversionsraten und generieren Sie langfristige Einnahmen durch sichere Bankzahlungen.
EV SSL-Zertifikat: Für wen?
Dieses erweiterte Validierungszertifikat sollte von allen Websites verwendet werden, die aufgrund des Austauschs vertraulicher Daten eine erhöhte Sicherheit benötigen. Banken- und E-Commerce-Websites großer Marken gehören dazu und sind häufig das Ziel von Phishing-Angriffen. Es ist kein Wunder, dass viele führende Marken und Unternehmen das EV SSL-Zertifikat verwenden. Dazu gehören Paypal und Zalando.
Die Preise für EV-Zertifikate variieren zwar, sind aber im Allgemeinen nicht billig. Es stellt sich also die Frage: Brauchen Sie das wirklich?
Dieses Zertifikat kann für kleine Marken, die Online-Zahlungen durchführen, von Nutzen sein, da sie sich durch eine erhöhte Sicherheit von der Konkurrenz abheben können. Um eine Entscheidung zu treffen, ist es ratsam, den Verdienstausfall durch abgebrochene Warenkörbe aufgrund des Misstrauens der Internetsurfer gegen den Preis des Zertifikats EV SSL abzuwägen.