SSL-Zertifizierung

Anwendung finden SSL-Zertifikate zum Beispiel bei der Nutzung von Authentifizierungsformularen. Weil hierbei persönliche Benutzerdaten übertragen werden, ist Sicherheit ein Muss. E-Commerce-Applikationen und Formulare zur Übermittlung persönlicher Daten sollten immer verschlüsselte Kommunikationswege nutzen.

Dasselbe gilt für Seiten zur Anmeldebestätigung und zur Abmeldung sowie für alle anderen Webressourcen, die zentraler Bestandteil Ihrer Marketingaktivitäten sind. Ihre Kunden müssen immer das Gefühl haben, dass sie sich in einer sicheren Online-Umgebung bewegen.

SSL-Zertifikate ermöglichen den Aufbau einer sicheren, verschlüsselten Verbindung zwischen Webbrowser und Webserver. Ein 'Handschlag'-Vorgang, der die Sitzung etabliert, findet im Hintergrund statt; darum kümmert sich der Webbrowser.

Sobald eine sichere Verbindung hergestellt ist, werden in der Adressleiste des Browsers ein kleines Schloss-Symbol sowie in der URL das 'https'-Präfix angezeigt ('s' für 'safe' oder 'sicher'); das sind die einzigen sichtbaren Indikatoren für eine sichere Sitzung. Wenn dagegen ein Benutzer eine nicht sichere Website (die also nicht durch ein SSL-Zerifikat geschützt ist) öffnet, fehlen diese Sicherheitsindikatoren.

Derzeit findet von Seiten der Browser keine eindeutige Kennzeichnung als 'nicht sichere Seite' statt. Verwendet die Website ein SSL-Zertikat, das aber ungültig ist, löst der Sicherheitsmechanismus des Browsers eine Warnung aus. Sie weist den Benutzer darauf hin, dass die von ihm besuchte Seite nicht sicher ist und sensible Daten von Dritten abgefangen werden können. Die meisten Nutzer, denen eine solche Warnung angezeigt wird, werden ihre persönlichen Daten nicht in das aufgerufene Formular eingeben.

Wenn Sie sich für die verschlüsselte Benutzerkommunikation entscheiden, ist es Ihr Ziel, eine sichere Website zu haben, die ohne Warnmeldungen erreicht werden kann. Eine korrekt implementierte URL sieht wie folgt aus:

https://newsletter.ihredomäne.com/u/register.php?CID=12345678&f=12345

Hinweis: Alternativ kann der oben dargestellte Beispiellink auch - durch Entfernen des S aus der URL - in ein 'normales' HTTP konvertiert werden. In diesem Fall riskieren Sie jedoch, dass persönliche Nutzerdaten abgefangen und gestohlen werden.

Emarsys bietet zwei Möglichkeiten für den Erwerb eines gültigen Zertifikats.

Die andere Option ist, dass Sie sich selbst um den Erwerb des Zertifikats kümmern; die erforderlichen Schritte werden unten beschrieben.

Hinweis: Dieser Abschnitt setzt voraus, dass Sie mit der Erstellung von Formularen in der Emarsys Applikation vertraut sind.

Um ein Zertifikat zu erwerben, gehen Sie wie folgt vor:

• Erstellen Sie eine Datei des Typs Certificate Signing Request (CSR) für die von Ihnen verwendete Domain. Die so erstellte Datei enthält Informationen zu Ihrer Domain („wer Sie sind“). Weitere Informationen zu CSR-Dateien finden Sie untenstehend.

Wenden Sie sich an eine Zertifizierungsstelle (Certification Authority, CA) und kaufen Sie ein Zertifikat. Es gibt verschiedene Typen von Zertifikaten, die sich auch in der Vertragsdauer unterscheiden können. Es ist wichtig, dass Sie aus folgenden Optionen die am besten geeignete auswählen:

• Ein Einzelzertifikat (Single Certificate) für Ihre Domain, z.B. "newsletter.ihredomain.com".
• Ein Platzhalterzertifikat (Wildcard Certificate) für alle First-Level-Subdomains unter "*.ihredomain.com". Mit einem solchen Zertifikat können Sie sowohl Registrierungsformulare als auch Webshops abdecken.

Beide der oben genannten Optionen können verschiedene Formen annehmen: Domain Validated, Organization Validated, Entity Validated. Wir haben keine Präferenzen, was den Validierungsstatus des Zertifikats betrifft, und empfehlen die Verwendung von Domain Validated. Weitere Informationen erhalten Sie in der CA-Dokumentation.

• Sobald Sie das Zertifikat von der Zertifizierungsstelle erhalten haben, senden Sie bitte folgende Dateien an Emarsys:
  • Private Key Datei (eine .key Datei).
  • Zertifikatsdatei (eine .crt- oder .pem-Datei). Diese kann auch die Zertifikatskette enthalten.
  • Zertifikatskettendatei (certification chain file; eine .crt- oder .pem-Datei)

Manchmal werden das Zertifikat und seine Kette als certificate bundle bezeichnet.

• Emarsys wird das Zertifikat installieren und auf die entsprechende Domain verlinken (z.B. Newsletter-Registrierungsformular).

Ein Certificate Signing Request (CSR) ist ein signierter Datensatz, der alle Informationen über Sie (Unternehmensname, Standort, Land etc.) enthält, die Sie beim Zertifikatkauf über eine Zertifizierungsstelle (Certification Authority, CA) benötigen. Die Zertifizierungsstelle verwendet diese Informationen, um Ihr SSL-Zertifikat zu erstellen. Durch die Verlinkung des derart erstellten SSL-Zertifikats mit Ihrer Domain wird eine sichere SSL-Verbindung ermöglicht.

Wenn Sie bei der Zusammenstellung von Domaininformationen Hilfe benötigen, können Sie einfach das Whois-Protokoll verwenden, das alle relevanten Informationen über Ihre Domain enthält. Die CSR-Datei ist mit der Domain verlinkt, für die Sie Ihr Ownership nachweisen müssen.

Hinweise:

• Bevor eine Zertifizierungsstelle (CA) ein Zertifikat für Ihre Domain ausstellt, müssen Sie nachweisen, dass die Domain Ihnen gehört. Wie Sie diesen Nachweis antreten, hängt von Ihrer CA ab.
• Sie müssen möglicherweise CNAME-Einträge, die auf Emarsys verweisen, vorübergehend entfernen, um Ihr Ownership erfolgreich nachweisen zu können.

Wichtig: Alle in der CSR-Datei enthaltenen Daten müssen exakt den bei Beantragung des Zertifikats angegebenen Informationen entsprechen. Anderenfalls besteht die Möglichkeit, dass der Zertifizierungsvorgang fehlschlägt oder die Zertifizierung nicht für die gewünschte Domain funktioniert.