Der Vollständigkeit halber sei erwähnt, dass neben der Qualität des eigentlichen Zertifikates auch die Art und Weise, wie es implementiert wird, wesentlich ist, wie gut die resultierende Verschlüsselung funktioniert, wie gut der Server gegen bestimmte Angriffs-Szenarien geschützt ist und also auch, wie gut der Serverbetreiber die Daten seiner Kunden schützt. Man kann durchaus auch sagen, es ist ein Zeichen, wie ernst die Firma ihren Job nimmt.
Prüfsiegel und Qualitätszeugnisse
Die Qualität und die Wirksamkeit eines Serverzertifikats können Sie sich durch mit verschiedene Prüfsiegel bestätigen lassen. Wie bereits oben erwähnt, ist auch hier die Unabhängigkeit und die Fachkompetenz der prüfenden Organisation wichtig. Denn schließlich soll die Aussagefähigkeit des Prüfsiegels jeder kritischen Betrachtung Stand halten. Bei der BB-ONE.net verwenden wir zwei verschiedene Prüfungen für Ihre Zertifikate.
Qualys – ein Qualitätszeugnis für Ihr SSL-Zertifikat
Qualys ist der Weltmarktführer für Informationssicherheit in Unternehmen. Wir verwenden einen automatisierten und formalisierten Test, um im Livebetrieb die SSL-Implementierung, die Verwundbarkeit eines Webservers gegenüber den häufigsten Angriffsszenarien und letztendlich auch die technische Qualität des Zertifikates sowie die Gültigkeit zu bewerten und das Ergebnis zu dokumentieren. Das Ergebnis ist dann eine „Note“ von A+ bis T sowie eine pdf-Datei mit allen Einzelergebnissen. Zum Umfang gehören fachlich hochwertige Hinweise zur Verbesserung. Die pdf-Datei wird einerseits bei uns dokumentiert (falls es sich um einen Bestandskunden handelt) sowie dem Kunden ausgehändigt.
Siwecos – Wertesiegel über die Sicherheit Ihres CMS
Hierbei handelt es sich um ein vom Bundesministerium für Wirtschaft und Energie gefördertes Projekt, das der „eco, Verband der Internetwirtschaft e.V.“ federführend betreut. Auch hier wird ein automatisierter und formalisierter Test durchgeführt, der eine Reihe von Sicherheitsprüfungen beinhaltet. Der Schwerpunkt dieses Testes liegt im Bereich Sicherheit des verwendeten Content Management Systemes. Auch hier liegt ein umfangreicher Bericht mit Hinweisen zur Verbesserung vor. Zusätzlich kann ein regelmässiger Test eingerichtet werden. Dies kann dann mit Hilfe eines in die WebSite eingebundenen Siegels dokumentiert werden.
Warum der Aufwand? Best Practice!
Die sichere Einrichtung sowohl eines Webservers als auch eines beliebigen Content Management Systemes/Shops unter Berücksichtigung zeitgemässer Anforderungen ist zwar kein Hexenwerk, aber auch nichts, was man mal „nebenbei“ erledigen kann. In jedem Fall müssen nach erfolgter Erstinstallation, noch vor dem Launch Tests, wie oben beschrieben durchgeführt und dokumentiert werden.