GlobalSign Blog

15 Sep 2017

Wie viel kostet ein SSL-Zertifikat wirklich?

Der SSL/TLS-Markt wächst, da Unternehmen die Bedeutung von Verschlüsselung für Best Practices der Internetsicherheit erkannt haben. Man findet eine Reihe von Zertifikatstypen, Lösungen, Add-ons und Services von zahlreichen Zertifizierungsstellen (CAs) aus der ganzen Welt.

Wenn Sie SSL/TLS-Zertifikate kaufen und begonnen haben, online nach Anbietern zu suchen, sind Ihnen wahrscheinlich schon eine umfangreiche Auswahl an Zertifikatstypen, Paketen, Lösungen und anderen Zertifikatoptionen begegnet. Die Entscheidung darüber, was man kaufen soll, kann ziemlich kompliziert werden. Mein Ziel beim Schreiben dieses Blogs ist es, einige der Kosten herauszustellen, die bei der Ausstellung von SSL/TLS-Zertifikaten anfallen und wie diese Kosten von den ausstellenden CAs gedeckt werden.

Sicherheitsniveaus

Die meisten der größten internationalen Zertifizierungsstellen bieten drei Sicherheitsniveaus für ihre SSL/TLS-Zertifikate.

  • Extended Validation (EV) SSL – überprüft das Recht des Antragstellers, die Domain zu nutzen, und umfasst eine strenge Überprüfung des Unternehmens.
  • Organization Validated (OV) SSL – überprüft das Recht des Antragstellers, die Domain zu nutzen, und umfasst eine teilweise Überprüfung des Unternehmens.
  • Domain Validated (DV) SSL – überprüft das Recht des Antragstellers, die Domain zu nutzen.

Je höher das Sicherheitsniveau des Zertifikats ist, desto mehr Validierung wird durchgeführt, bevor das Zertifikat ausgestellt wird und um so mehr Zeit und Ressourcen werden von der Prüfabteilung der ausstellenden CA benötigt. EV SSL-Zertifikate erfordern die meiste Sorgfalt, da unser Überprüfungs-Team überprüft, ob Sie die Domain besitzen, ob Ihr Unternehmen ein echtes Unternehmen ist, ob das Unternehmen in offiziellen Verzeichnissen existiert und eine physische Präsenz hat.

Alle Websites, die sichere Zahlungsvorgänge ermöglichen, benötigen und verlangen Zertifikate mit der höchsten Sicherheit. Diese aktivieren die "grüne Adresszeile" (je nach Browser und Version, die Sie verwenden), die ihren Firmennamen anzeigt. Besucher der Website sehen dies als ein Zeichen, dass sie der Website vertrauen können und die Website profitiert von einer größeren Markenbekanntheit. Im Vergleich dazu erfordert ein DV SSL-Zertifikat nur, dass eine CA überprüft, ob Sie die administrative Kontrolle über die Domain nachweisen können. Besucher der Website sehen in der Regel nur ein Vorhängeschloss.

Sicherheits- und Phishing-Checks

Zertifizierungsstellen wie GlobalSign sind sehr stolz auf ihren Ruf. Daher investieren sie Zeit und Geld in umfassende Tools und menschliche Prozesse, um Zertifikatanträge von böswilligen Akteuren zu identifizieren und abzulehnen. Diejenigen CAs, die keine hohen Sicherheitsniveaus bei der Datenüberprüfung pflegen, können ihre Kosten zu Lasten von missbräuchlich ausgestellten Zertifikaten oder zulasten der Sicherung von Phishing- oder Malware-Websites reduzieren. Dies kann sich wiederum negativ auf den Ruf der CA und die Zertifikate, die sie ausstellen, auswirken.

Support

Die von CAs angebotenen Support-Arten variieren stark und können alles von Foren (Open Source), Web-Support über FAQs, E-Mail bis Telefon sein.  Support kann nur in einer Landessprache oder in mehreren Sprachen zur Verfügung gestellt werden.  Die Geschäftsstunden variieren auch von lokalen Geschäftszeiten bis zu rund um die Uhr. Die Kosten für die Bereitstellung von Support hängen von Art, Zeiten und Sprachen des Support-Services ab.

Sprachen

CAs, die webbasierte Bestellung, Reporting und Online-Dokumentation ermöglichen, können diese auch in mehreren Sprachen anbieten. Dies verursacht Kosten für die CA.

Root-Programme

Einer der Hauptvorteile für den Kauf eines SSL/TLS-Zertifikats von einer kommerziellen CA ist, dass sie SSL/TLS-Zertifikate anbieten, die von einer Vielzahl von Browsern, mobilen Geräten, Gaming-Plattformen, SDKs und verschiedenen anderen Geräten vertraut werden. CAs investieren viel Zeit und Geld, um sicherzustellen, dass ihre Root-Zertifikate in möglichst vielen Geräten eingebettet sind, um den Kunden die umfassendsten und weithin akzeptierten SSL/TLS-Zertifikate zu liefern.

Audits

Ein weiterer wesentlicher Faktor, der sich auf die Kosten auswirkt, sind die Kosten für die Erfüllung der Anforderungen und die Einhaltung der Auditkriterien der Branche sowie die Kosten für die jährlichen Audits. Alle kommerziellen CAs mit Roots in den wichtigsten Browsern müssen WebTrust- oder ETSI-Audits bestehen, um ihre Roots zu erhalten. Ohne ihre Roots in diesen wichtigen Plattformen hätten die von der CA ausgestellten Zertifikate wenig Wert. Diese Audits verlangen, dass alle CAs ihre Prozesse dokumentieren und sie dann von Arbeitsplatz-Hintergrundprüfungen, lokaler Büro-Sicherheit, Pflichten der Personen in vertrauenswürdigen Rollen bis hin zu operativen und Rechenzentrumsrichtlinien und -verfahren befolgen. Das Aufstellen der Richtlinien und die Unterstützung der Audits stellt einen großen Zeitaufwand zusätzlich zu den bereits hohen Kosten der Audits dar.

Das gleiche Konzept gilt für staatlich oder regional geförderte CAs, die in der Regel über eigene spezialisierte Funktionen, Prüfungsverfahren und Sicherheitsanforderungen verfügen, die ihre Kosten erhöhen.

Infrastruktur

Selbstverständlich entstehen mit einer CA Entwicklungs- und Infrastrukturkosten zum Aufbau und Betrieb von Anwendungen, die Zertifikatbestellung, -verwaltung und -ausstellung ermöglichen sowie einen zuverlässigen Widerruf-Service bieten.

CAs benötigen mehrere sichere Rechenzentren mit spezialisierten Racks für Web-, Datenbank- und CA-Server, Netzwerkgeräte und HSM, um die Ausstellung und Verwaltung von Millionen von Zertifikaten pro Jahr zu unterstützen.

CAs müssen auch ständig innovativ sein und neue Services anbieten, um den sich ändernden Bedürfnissen der Verbraucher und den schnellen Entwicklungen in IT und Technik gerecht zu werden. Für jede neue Plattform oder Technologie gibt es evtl. eine Möglichkeit zur SSL/TLS-Verschlüsselung sowie ein Kundenstamm, der sicherstellen muss, dass sein Service sicher ist.

Garantien

Einige CAs garantieren ihren Zertifikatabonnenten Identifizierungsfehler, Dokumentenverlust oder vorsätzliche bzw. zufällige Fehler abzudecken. Dies bietet ihren Kunden einen Mehrwert, geht aber zulasten einer Versicherungspolice oder einer Unternehmenshaftung, wenn sie selbstversichert sind.

Wie decken CAs diese Kosten?

Kunden, die SSL/TLS-Zertifikate kaufen, müssen den vollen Umfang der Kosten für CAs und wie sie abgeleistet werden verstehen. Die Kosten können in Form von Zertifikatspreisen, Abonnementgebühren, Einrichtungsgebühren, Supportverträgen, Sponsoring-Möglichkeiten, Bündelung mit anderen Produkten oder Services, CA-Hostinggebühren etc. weitergegeben werden. Auch "freie" CAs benötigen Einnahmen, um ihre Kosten in einer der oben genannten Formen zu begleichen.

Es lohnt sich, vor dem Kauf eines Zertifikats alle Faktoren abzuwägen, die ich oben erwähnt habe und sich die Faktoren anzuschauen, die für Sie wichtig sind. Fragen Sie sich selbst:

  • Wieviel bedeutet Ihnen oder Ihren Kunden/Web-Besuchern die Reputation der CA?
  • Welche Art SSL/TLS-Zertifikat benötigen Sie?
  • Kann eine CA alle Ihre SSL/TLS-Bedürfnisse erfüllen oder müssen Sie mit mehreren CAs zusammenarbeiten, um alle Ihre Anforderungen zu erfüllen? Wieviel Support benötigen Sie und welche Sprachen müssen unterstützt werden?
  • Wird das Root-Zertifikat dazu verwendet, um SSL/TLS-Zertifikate auszustellen, denen von allen Ihren erwarteten Websitebesuchern vertraut wird?
  • Bietet die CA das Garantieniveau, das Ihr Unternehmen benötigt?

Wenn Sie sich das alles angeschaut haben und entschieden haben, dass GlobalSign die richtige CA für Sie ist, dann besuchen Sie unsere SSL-Zertifikatseite, um mehr zu erfahren und ein Zertifikat zu erwerben. Ansonsten sind Sie herzlich eingeladen, unsere Kommentare oder unser Twitter zu nutzen, um uns Fragen zu diesem Blog-Post zu stellen.

Artikel teilen