SSL Zertifikate

Es gibt verschiedene Arten von SSL Zerfitikaten.

  1. DV – Domain Validated
  2. OV – Organization Validated
  3. EV – Extended Validation

In 99% der Fälle, reicht ein DV Zerfitikat von Let’s Encrypt. Die können bei allen grösseren und professionellen Webhosting Anbietern wie Cyon, Infomaniak, Metanet oder Hostpoint kostenlos und automatisiert eingerichtet werden.

1. DV Zertifikate – Domain Validated

Kostenlos, automatisiert, sicher.

  • TLS 1.3, moderne Verschlüsselung, kein Unterschied zu Bezahl-Zertifikaten
  • Ideal für Blogs, KMU-Websites, Landingpages, APIs, statische Seiten
  • Wird in allen Browsern akzeptiert
  • Automatische Verlängerung z. B. via Certbot oder über Hoster

Für 99 % der Websites – auch für professionelle – absolut ausreichend.

2. OV Zerfitikate – Organization Validated

Kostenpflichtig, geprüfte Identität der Organisation.

  • Domainbesitz + Identität der Organisation wird geprüft (z. B. Handelsregister, Telefonnummer)
  • Zertifikat enthält Firmenname und Standort (sichtbar im Zertifikat – nicht in Browser-UI)
  • Ideal für mittelgroße Unternehmen, interne Tools, Portale mit Login, oder wenn man Vertrauen gegenüber Kunden stärken möchte
  • Wird in allen Browsern akzeptiert
  • Mehr juristische Nachvollziehbarkeit bei Problemen oder Audits
  • Muss manuell verlängert werden, meist jährlich
  • Preis: ab ca. 50–300 CHF/Jahr

Sinnvoll, wenn du als Firma auftreten willst, z. B. bei B2B-Portalen, Kundenlogins, APIs mit externem Zugriff oder Ausschreibungen. Nicht nötig für klassische Websites ohne kritische Interaktion.

3. EV Zertifikate – Extended Validation

Höchste Zertifikatsstufe mit tiefgreifender Prüfung.

  • Strenge Prüfung: Firmenregister, Identität der verantwortlichen Person, Telefonnummer, Existenzbeleg
  • Firma wird im Zertifikat prominent genannt (z. B. „[Galli Web]“)
  • Früher: Grüne Leiste im Browser mit Firmennamen – heute nur noch im Zertifikat sichtbar
  • Ideal für Banken, Behörden, Konzerne, Versicherungen, oder Branchen mit Phishing-Risiko
  • Starker juristischer Nachweis im Ernstfall
  • Preis: ca. 150–500+ CHF/Jahr
  • Kein technischer Vorteil gegenüber DV/OV

Nur sinnvoll, wenn du mit Missbrauchsrisiken rechnest, z. B. Banking, E-Government oder kritische SaaS-Plattformen. Für KMU, Agenturen oder Shops: Overkill.

Aber ich bezahle gerne für mehr Sicherheit?

  • Du bezahlst nicht für mehr Sicherheit, sondern für mehr Identitätsprüfung.
  • Die Verschlüsselung ist identisch zwischen Let’s Encrypt DV-Zertifikaten und einem 2000 CHF teuren EV-Zertifikat!

Weitere technische Infos zu SSL Zertifikaten

HSTS (HTTP Strict Transport Security)

Browser merkt sich: „Diese Seite nur über HTTPS aufrufen.“ Kein Fallback auf HTTP mehr möglich.

OCSP-Anheftung (Online Certificate Status Protocol Stapling)

Server prüft selbst, ob sein Zertifikat noch gültig ist, und liefert den Beweis direkt mit – statt dass der Browser das beim Zertifizierungsstelle nachfragen muss. Schneller, privater.

DANE (DNS-based Authentication of Named Entities)

Zertifikat wird via DNS/DNSSEC verankert. Browser kann prüfen: „Stimmt dieses Zertifikat mit dem DNS-Eintrag überein?“ – unabhängig von klassischen CAs.

SSL seit den 90ern im Einsatz. Alle Versionen (2.0, 3.0) sind heute unsicher und abgekündigt.

TLS, Nachfolger von SSL:

  • TLS 1.0 / 1.1 → veraltet, abgekündigt
  • TLS 1.2 → noch weit verbreitet, akzeptabel
  • TLS 1.3 → aktueller Standard, schneller, sicherer

Was änderte TLS konkret?

  1. Bessere Verschlüsselung
  2. Perfect Forward Secrecy (PFS) – jede Sitzung hat eigenen Schlüssel, alte Daten bleiben sicher auch wenn Hauptschlüssel geleakt wird
  3. TLS 1.3: Handshake schneller (1 statt 2 Roundtrips)

Warum sagt man trotzdem noch „SSL“? Reines Gewohnheit. „SSL-Zertifikat“ ist technisch falsch, aber eingebürgert.