Contao-Camp 2024
Ergebnis 1 bis 7 von 7

Thema: DSGVO - Welche Art SSL-Zertifikat reicht aus? Sorry für noch eine DSGVO-Frage...

  1. #1
    Contao-Fan
    Registriert seit
    12.04.2011.
    Ort
    Hamburg
    Beiträge
    489

    Standard DSGVO - Welche Art SSL-Zertifikat reicht aus? Sorry für noch eine DSGVO-Frage...

    Hallo zusammen,

    wo immer ich im Web dazu eine Aussage finde, bleibt es schwammig:

    Welche Art SSL-Zertifikat (DV, OV, EV...) reicht - nach DSGVO - für Websites mit typischen Website-Funktionen (sagen wir Kontaktformular, Newsletter, Kommentare) aus?

    Ein einfaches DV-Zertifikat ohne Authentifizierung des Unternehmens?

    Tendenziell stoße ich auf Behauptungen, ein "einfaches DV-Zertifikat" würde für "kleine Websites" ausreichen. Leider wird dann weder definiert, was "kleine Websites" sind, noch wird die Behauptung begründet.

    Ich suche insb. nach einer belastbaren Quelle, einer Website einer Rechtsberatung beispielsweise. Bevor ich selbst eine Rechtsauskunft dazu einhole ... das wäre dann der nächste Schritt.

    Vielen Dank!

  2. #2
    Administratorin Avatar von lucina
    Registriert seit
    19.06.2009.
    Ort
    Kiel (DE)
    Beiträge
    7.328
    Partner-ID
    152
    User beschenken
    Wunschliste
    Contao-Projekt unterstützen

    Support Contao

    Standard

    Überleg doch mal, wozu ein Zertifikat benutzt wird - zum Verschlüsseln des Datenverkehrs nämlich. Für diese Funktion ist es dem Zertifikat (was eigentlich ein Paar aus öffentlichem und privatem Schlüssel ist) vollkommen egal, ob es für eine Domain, für eine Domain inklusive aller Subdomains oder für eine Organisation ausgestellt ist. Der Prozess - der Webserver verschlüsselt die zu sendenden Daten mit dem privaten Schlüssel, und der Browser kann sie mit dem öffentlichen wieder entschlüsseln - ist in jedem Fall der selbe.

    Bei den von Dir genannten Zertifikatstypen kommt dann meist das Eine oder Andere hinzu: Manchmal liest ein Mensch eine Urkunde, manchmal wird das durch einen Notar bestätigt, und und und. All diesen Validierungsarten ist gemein dass sie Arbeitszeit und damit Geld kosten. Manche Hoster halten dann auch ncoh ordentlich das Händchen auf. Egal.

    Grössere Webseites haben vielleicht Subdomains. Dann sollte man ein Zertifikat auf für diese Subdomains ausstellen lassen. Kostet extra.

    Manche Hoster lassen es nur zu dass ein einziges Zertifikat auf einem virtuellen Server installiert wird. Dann braucht man eines, das alle Domains (und sicher auch die Subdomains, am Besten noch per Wildcard, man weiss ja nie ...) beinhaltet. Kostet extra.

    Manche Websites gehören einer Bank. Dann möchten man, nachdem man gelesen hat, dass im östlichen Europa schon mal eine komplette physische Tankstelle gefälscht worden ist, als Endkunde sicher auch wissen, ob die Webseite, die man ansurft und ausschaut als gehöre sie der Bank bei der man Kundin oder Kunde ist, auch tatsächlich dieser Bank gehört. Das könnte in einem OV-Zertifikat drinstehen. Kostet extra, aber Banken können sich das vermutlich auch leisten.

    Für alle anderen Fälle reichen serverbasierte Zertifikate wie das kostenlose Let's Encrypt vollkommen aus. Auch da gibt es inzwischen Wildcards, so dass sich das für die allermeisten Einsatzzwecke durchaus eignet. Möglicherweise nicht für Banken, möglicherweise auch nicht für Shops, die ja auch schon in gefälschten Versionen am Markt sind.

    Klarer?

  3. #3
    Contao-Fan
    Registriert seit
    12.04.2011.
    Ort
    Hamburg
    Beiträge
    489

    Standard

    Danke für die Darlegung!

    Mein Verstand sagte mir - auch vor der ganzen Verwirrung und Panikmache - dass die Zertifikate auf dem Papier alle gleich gut verschlüsseln. Die sonstigen Features sind in Bezug auf die DSGVO für "normale" (nicht Banken-) Websites technisch gesehen nicht relevant. Mein Verstand scheint auf Kundenseite aber nicht verlässlich genug zu sein. Sie fordern Beweise ;-)

    Der Satz "ich mache keine Rechtsberatung" ist mein Mantra der letzten Wochen, der Satz "das müssen Sie als Webentwickler aber wissen" das Mantra der Kunden.

    Ich traue dem Gesetzgeber zu, auch technisch vollkommen unsinnige Dinge vorzuschreiben. Daher habe ich mich nun auch wieder verunsichern lassen. Nur um sicher zu gehen: In der DSGVO ist in Bezug auf die Übermittlung von personenbezogenen Daten nur die Rede von Verschlüsselung, nicht von Unternehmens-Validierung. Ist das richtig?

  4. #4
    Administratorin Avatar von lucina
    Registriert seit
    19.06.2009.
    Ort
    Kiel (DE)
    Beiträge
    7.328
    Partner-ID
    152
    User beschenken
    Wunschliste
    Contao-Projekt unterstützen

    Support Contao

    Standard

    Dazu müsstest Du mal in die DSGVO schauen ... ;-)

  5. #5
    Contao-Fan
    Registriert seit
    12.04.2011.
    Ort
    Hamburg
    Beiträge
    489

    Standard

    ;-)

    Ich schlage jetzt vor, genau diese Auskunft vom Juristen einzuholen... dafür sind die ja schließlich da. Eigentlich.

  6. #6
    Wandelndes Contao-Lexikon Avatar von tab
    Registriert seit
    22.10.2013.
    Beiträge
    10.060
    Contao-Projekt unterstützen

    Support Contao

    Standard

    Sag doch einfach: Ich weiss es, kann es Ihnen aber nicht dagen, weil ich Sie damit sonst beunruhigen würde .
    Oder sag nicht "Ich mache keine Rechtsberatung", sondern "Ich DARF keine Rechtsberatung machen". Was ja auch völlig korrekt ist, wenn du nicht zum dazu berechtigten Personenkreis gehörst. Und "Beweise" gibt es notfalls auch. Druck die DSGVO aus und gib ihnen den "Beweis". Sie müssen das ja nur durchlesen und schauen, ob da irgendwo was von Unternehmens-Validierung steht. Und wenn sie das nicht wollen, dann müssen sie halt einen Rechtsanwalt finden, der das für sie durchliest. Oder dich dafür bezahlen, dass du einen solchen Anwalt beauftragst. Ansonsten sollen sie halt so ein schweineteures Zertifikat kaufen, dann sind sie auf der ganz sicheren Seite. Leider kommt in dem Satz das Wort vor, das körperliche Schmerzen bereitet. Kaufen, igitt.

    So eine Sauerei!!! Jetzt haben die Juristen extra so ein Monstrum geschaffen und niemand will für ihre Expertise was bezahlen. Lieber fragen die Kunden einen Webentwickler, der ihnen dann eine Garantie dafür geben soll. Also ich kann nur sagen, ich habe heute über 10 DIN A4 Seiten Datenschutzerklärung auf mehreren Websites eines Anwalts eingepflegt. Alle haben Lets Encrypt Zertifikate. Er hat mich bisher noch nicht gefragt, ob das Zertifikat auch eine Unternehmens-Validierung beinhaltet oder ob es für die Anforderungen der DSGVO ausreichend ist. Er meinte nur: Hey, Klasse, unsere Seiten sind ja alle schon verschlüsselt .

  7. #7
    Contao-Fan
    Registriert seit
    12.04.2011.
    Ort
    Hamburg
    Beiträge
    489

    Standard

    Gestern gegen 18:50 Uhr kamen noch zwei aufgebrachte Kandidaten, die "das erste mal davon gehört" haben (Unternehmer! Keine Privatpersonen!) und in Panik ihre Websites vom Netz nehmen ließen.

    Gottogottogott... schlimmer als beim Millennium-Bug.

Aktive Benutzer

Aktive Benutzer

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)

Lesezeichen

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •