Ein SSL-Zertifikat schützt die Datenübertragung zwischen Browser und Server durch Verschlüsselung und bestätigt die Identität der Domain. Geschützt wird der Transportweg der Daten, nicht die Daten auf dem Server selbst.
Technisch korrekt heißt das Verfahren seit 1999 TLS (Transport Layer Security). Der Begriff SSL hat sich umgangssprachlich gehalten, gemeint ist heute fast immer TLS 1.2 oder TLS 1.3. Ein gültiges Zertifikat erfüllt drei Schutzziele gleichzeitig:
Konkret heißt das: Login-Daten, Kreditkartennummern, Kontaktformulare, Cookies und API-Aufrufe sind auf dem Weg zwischen Endgerät und Server vor Mitlesen und Manipulation geschützt. Auch klassische Man-in-the-Middle-Angriffe — etwa über manipulierte Hotspots oder kompromittierte Router — laufen ins Leere, solange Browser und Server keine Warnung anzeigen und der Nutzer diese ernst nimmt.
Welche Validierungsstufe wie viel Identität bestätigt, hängt vom Zertifikatstyp ab:
| Typ | Geprüft wird | Im Zertifikat sichtbar |
|---|---|---|
| DV (Domain Validation) | Kontrolle über die Domain | nur Domainname |
| OV (Organization Validation) | Domain + Existenz der Organisation | Domain + Firmenname und Sitz |
| EV (Extended Validation) | Domain + umfangreiche Organisationsprüfung nach CA/Browser-Forum-Vorgaben | Domain + Firmenname, Sitz, Registernummer |
Für die DSGVO-konforme Übertragung personenbezogener Daten ist TLS nach Art. 32 DSGVO faktisch Pflicht, sobald ein Webformular Namen, E-Mail-Adressen oder Login-Daten entgegennimmt. Der Schutz endet allerdings dort, wo die verschlüsselte Verbindung endet — was außerhalb dieses Transportwegs liegt, deckt ein SSL-Zertifikat nicht ab.
