Um einen sicheren Datentransfer gewährleisten zu können, verlangt das Emarsys API die Verwendung von SSL-Zertifikaten.
Inhalt:
Was ist SSL/TLS?
Der Begriff Secure Socket Layer/Transport Layer Security (SSL/TLS) beschreibt ein Protokoll für die sichere Kommunikation in Computernetzwerken. Die sogenannten SSL-Zertifikate sorgen dafür, dass die Kommunikationspartner eindeutig identifiziert werden können. Emarsys verwendet SSL-Zertifikate, um den Zugriff auf unsere Services und die Link-Domains unserer Kunden zu verschlüsseln.

Warum die Verwendung von SSL/TLS empfohlen wird
SSL-Zertifikate werden unter anderem für Authentifizierungsformulare verwendet. Bei der Authentifizierung geben Nutzer persönliche Daten ein, daher ist Sicherheit äußerst wichtig. Für Formulare, die persönliche Daten abrufen, und alle E-Commerce-Anwendungen sollte immer die verschlüsselte Kommunikation verwendet werden.
Dasselbe gilt für Seiten zur Registrierungsbestätigung, Abmeldeseiten und alle anderen Webressourcen, die für Ihre Marketingaktivitäten essenziell sind: Ihre Kunden müssen stets die Gewissheit haben, dass sie sich in einer sicheren Online-Umgebung befinden.
Dank der SSL-Zertifikate können Webbrowser und Webserver eine sichere, verschlüsselte Verbindung aufbauen. Im Hintergrund erfolgt ein "Handshake", der die Session startet; dies geschieht durch den Webbrowser.
Sobald die sichere Verbindung hergestellt ist, erscheint das Symbol eines Vorhängeschlosses in der Adressleiste des Browsers und das Präfix "https" (das s steht für secure) wird der URL vorangestellt; das sind die einzigen sichtbaren Indikatoren dafür, dass die aktuelle Session sicher ist. Wenn ein Nutzer eine nicht sichere Website öffnet (d.h. eine Website, die nicht durch ein SSL-Zertifikat gescichert ist), fehlen diese Hinweise auf eine sichere Verbindung.
Derzeit werden nicht sichere Websites von den Browsern nicht eindeutig als solche gekennzeichnet. Wenn eine Website ein SSL-Zertifikat verwendet, das ungültig ist, triggert der Sicherheitsmechanismus des Browsers eine Warnung, die den Nutzer darauf aufmerksam macht, dass die Website nicht sicher ist und sensible Daten von Dritten abgefangen werden könnten. Nutzer, die diese Warnung angezeigt bekommen, sind zumeist nicht mehr bereit, Daten in das Formular einzugeben.
Wenn Sie die Kommunikation mit Ihren Nutzern verschlüsseln, erreichen Sie damit zweierlei: Sie sorgen dafür, dass Ihre Website sicher ist - und Sie erreichen, dass Nutzer auf die Website zugreifen können, ohne mit Warnungen konfrontiert zu werden. Eine korrekt implementierte URL sieht wie folgt aus:
https://newsletter.yourdomain.com/u/register.php?CID=12345678&f=12345
Anmerkung: Alternativ können Sie den oben angegebenen Link auch zu einer "normalen" HTTP konvertieren, indem Sie das "s" in der URL entfernen; damit riskieren Sie jedoch, dass die persönlichen Daten Ihrer Nutzer gestohlen werden.
Wie Sie ein SSL-Zertifikat erlangen können
Nachstehend beschreiben wir zwei Optionen, wie Sie den Status "SSL-zertifiziert" erlangen können; entweder Sie überlassen den Vorgang Emarsys oder Sie erwerben das Zertifikat selbst.
Wenn Sie CDN verwenden, müssen Sie das Zertifikat selbst erwerben. Derzeit werden Zertifikate des Typs "Let's Encrypt" für CDN nicht unterstützt.
Eine Ausnahme von der oben angeführten Regel gilt für Bild- und Link-Domains von Kunden, für die Emarsys im Oktober 2020 Zertifikate des Typs "Let's Encrypt" erstellt hat. Diese Zertifikate werden weiterhin für CDN erneuert und aktualisiert.
1. Überlassen Sie den Vorgang Emarsys
Bei dieser Option müssen Sie gar nichts tun. Sie ist außerdem vollkommen kostenfrei.
Emarsys erstellt alle erforderlichen Dateien und installiert diese für Sie. Wir installieren ein Zertifikat, das auf Let's Encrypt basiert.
Das bei dieser Methode verwendete Verschlüsselungs-Level ist RSA-signiert und verwendet 2048-bit RSA Keys; das entspricht den Standards der Branche. Ein Zertifikat des Typs "Let's Encrypt" ist für 90 Tage gültig und wird automatisch erneuert.
Wenn Sie sich für diese Lösung entscheiden, informieren Sie bitte Ihren Implementation Consultant.
2. Zertifikat selbst erwerben
Die andere Option ist, dass Sie selbst ein Zertifikat von einer Certification Authority (CA) erwerben und dieses für die Installation an Emarsys weiterleiten.
Anmerkung: Dieser Abschnitt setzt voraus, dass Sie bereits mit dem Erstellen von Formularen in der Emarsys Applikation vertraut sind.
Wenn Sie CDN verwenden, müssen wir den Privat Key des relevanten Zertifikats für die Infrastruktur unseres CDN-Partners bereitstellen. Bitte beachten Sie, dass Sie in diesem Fall Let's Encrypt nicht verwenden können.
Zu Ihrer eigenen Sicherkeit achten Sie bitte stets darauf, Ihre sensiblen Daten bei der Übergabe an Emarsys mit einem Passwort zu schützen. Das Passwort sollte über einen getrennten Kanal (z.B. das Telefon) gesendet werden.
Um ein Zertifikat zu erlangen, gehen Sie wie folgt vor:
- Erstellen Sie eine Datei des Typs "Certificate Signing Request" (CSR) für die Domain, die Sie verwenden. Diese Datei enthält Informationen zur Domain ("who are you"). Weitere Informationen zu CSR-Dateien erhalten Sie weiter unten.
Wenden Sie sich an eine Certification Authority (CA) und kaufen Sie ein Zertifikat. Es gibt verschiedene Arten von Zertifikaten mit unterschiedlicher Gültigkeitsdauer. Achten Sie darauf, die für Sie passenden Zertifikate zu erwerben:
- Ein Einzelzertifikat (Single Certificate) für Ihre Domain, z.B. "newsletter.yourdomain.com".
- Ein Wildcard-Zertifikat für alle First Level Subdomains unterhalb von "*.yourdomain.com"; damit decken Sie sowohl Registrierungsformulare als auch Webshops ab.
Beide der oben erwähnten Optionen sind in unterschiedlichen Formen verfügbar: Domain Validated, Organization Validated, Entity Validated. Wir haben keine Präferenzen bezüglich des Validierungsstatus des Zertifikats und empfehlen Domain Validated. Weitere Informationen erhalten Sie in der Dokumentation der jeweiligen CA.
- Wenn Sie das Zertifikat von der CA empfangen haben, senden Sie folgende Dateien an Emarsys:
- Datei mit dem Private Key (eine Datei des Typs .key).
- Zertifikatsdatei (eine Datei des Typs .crt oder .pem). Diese kann auch die Zertifikatskette enthalten.
- Datei mit der Zertifikatskette (eine Datei des Typs .crt oder .pem).
Das Zertifikat und seine Kette werden zuweilen als Zertifikatsbundle bezeichnet.
- Nun installiert Emarsys das Zertifikat und verlinkt es mit der Domain (z.B. einem Formular für die Newsletter-Anmeldung).
CSR-Dateien
Ein Certificate Signing Request (CSR) ist ein signierter Datensatz, der all jene Informationen enthält (Name der Organisation, Standort, Land oder Region etc.), die Sie bereitstellen müssen, wenn Sie ein Zertifikat von einer Certification Authority (CA) kaufen wollen. Die CA verwendet diese Informationen, um das SSL-Zertifikat zu erstellen, welches dann mit der Domain verlinkt wird, für die Sie den CSR erstellt haben - und das macht die SSL-Verbindung erst möglich.
Um Informationen zu Ihrer Domain abzurufen, können Sie einfach das Protokoll Whois verwenden. Die CSR-Datei ist mit Ihrer Domain verlinkt, deren Besitz Sie nachweisen müssen.
Hinweise:
- Bevor eine CA ein Zertifikat für Ihre Domain ausstellt, müssen Sie nachweisen, dass Sie im Besitz dieser Domain sind. Wie Sie diesen Beweis antreten, hängt von der jeweiligen CA ab.
- Um den Nachweis erfolgreich antreten zu können, müssen Sie möglicherweise auf Emarsys verweisende CNAME-Einträge löschen.
Es ist wichtig, dass alle Daten in der CSR-Datei exakt mit jenen Informationen übereinstimmen, die Sie bei Beantragen des Zertifikats übergeben haben. Ist das nicht der Fall, kann der Zertifizierungsvorgang fehlschlagen - oder das Zertifikat funktioniert nicht für die gewünschte Domain.