SSL-Zertifikate gibt es in drei Validierungsstufen: DV (Domain Validation), OV (Organization Validation) und EV (Extended Validation). Alle drei bieten die gleiche Verschlüsselungsstärke — der Unterschied liegt darin, wie gründlich die Certificate Authority die Identität des Zertifikatsanforderers überprüft.
Für die meisten Websites genügt ein kostenloses DV-Zertifikat von Let’s Encrypt.
Schnellvergleich
| DV | OV | EV | |
|---|---|---|---|
| Validiert | Nur Domain-Inhaberschaft | Domain + Organisation existiert | Domain + gründliches Organisations-Audit |
| Ausstellungszeit | Minuten (automatisiert) | 1-3 Tage | 1-2 Wochen |
| Verschlüsselung | Gleich | Gleich | Gleich |
| Preis | Kostenlos (Let’s Encrypt) | 50-200 $/Jahr | 100-500 $/Jahr |
| Browseranzeige | Schloss | Schloss | Schloss (grüne Leiste 2019 entfernt) |
| Organisationsname im Zertifikat | Nein | Ja | Ja |
| Garantie | Keine | 10K-250K $ | 250K-1,75M $ |
| Wildcard verfügbar | Ja | Ja | Nein |
| Am besten für | 90%+ der Websites | Unternehmens-Compliance | Regulierte Branchen |
Domain Validation (DV)
DV-Zertifikate überprüfen nur, dass Sie die Domain kontrollieren. Die CA prüft dies automatisch über:
- HTTP-01 Challenge — eine Datei auf Ihrem Server platzieren
- DNS-01 Challenge — einen TXT-Eintrag zu Ihrem DNS hinzufügen
- E-Mail-Validierung — auf eine E-Mail an admin@yourdomain.com antworten
Kein Papierkram, keine Anrufe, kein Warten. Die Ausstellung dauert Minuten.
Wer stellt DV kostenlos aus:
- Let’s Encrypt — über GetHTTPS, Certbot, acme.sh
- Buypass Go — 180 Tage Gültigkeit
- Google Trust Services — über ACME
DV genügt für:
- Persönliche Seiten und Blogs
- SaaS-Anwendungen und APIs
- E-Commerce (PCI DSS akzeptiert DV)
- Startups und kleine Unternehmen
- Interne Tools
- Staging-/Entwicklungsumgebungen
Organization Validation (OV)
OV-Zertifikate überprüfen die Domain-Inhaberschaft plus die rechtliche Identität der Organisation. Die CA prüft:
- Domain-Kontrolle (wie bei DV)
- Organisation existiert in Handelsregistern
- Überprüfung der physischen Adresse
- Telefonische Verifizierung
OV-Zertifikate enthalten den rechtlichen Namen der Organisation in den Zertifikatsmetadaten. Allerdings zeigen moderne Browser keinen visuellen Unterschied zwischen DV und OV — Nutzer sehen das gleiche Schloss-Symbol.
Wann Sie möglicherweise OV brauchen:
- Unternehmensbeschaffung, die ausdrücklich OV verlangt
- Compliance-Rahmenwerke, die organisatorische Identität in Zertifikaten vorschreiben
- Interne Unternehmensrichtlinien, die OV erfordern
Extended Validation (EV)
EV-Zertifikate erfordern die gründlichste Überprüfung:
- Alles aus OV
- Überprüfung der operativen Existenz der Organisation (nicht nur der rechtlichen)
- Überprüfung der physischen Adresse
- Überprüfung der Befugnis des Antragstellers, das Zertifikat anzufordern
- Jährliche Erneuerung aller Überprüfungsschritte
Die grüne Leiste ist weg. Chrome hat die grüne EV-Adressleiste 2019 (Version 77) entfernt. Firefox folgte. Es gibt jetzt keinen visuellen Unterschied zwischen DV, OV und EV in einem der großen Browser. Nutzer können den Unterschied nicht erkennen.
Wann Sie möglicherweise EV brauchen:
- Spezifische regulatorische Anforderung (überprüfen Sie die tatsächliche Vorschrift — viele Leute nehmen an, dass EV erforderlich ist, wenn es das nicht ist)
- Einige Finanzinstitute verlangen es zur Compliance
- Selten aus technischen oder sicherheitstechnischen Gründen gerechtfertigt
Entscheidungsbaum
Haben Sie eine spezifische Compliance-Anforderung, die OV oder EV vorschreibt?
├── Ja → OV oder EV von einer kommerziellen CA erwerben
└── Nein → Gibt es eine Beschaffungsrichtlinie, die Organisationsidentität im Zertifikat erfordert?
├── Ja → OV erwerben
└── Nein → DV ist ausreichend → Holen Sie sich ein kostenloses von Let's Encrypt
94,3 % aller SSL-Zertifikate sind DV. Der Markt hat gesprochen.
Häufige Irrtümer
“EV ist sicherer als DV.” Falsch. Alle drei Typen verwenden identische Verschlüsselung. Ein DV-Zertifikat von Let’s Encrypt bietet den gleichen TLS-Schutz wie ein 500-$-EV-Zertifikat von DigiCert. Die Verschlüsselung kennt und berücksichtigt die Validierungsstufe nicht.
“E-Commerce-Seiten brauchen EV.” PCI DSS (der Payment-Card-Industry-Standard) erfordert Verschlüsselung, nicht eine bestimmte Validierungsstufe. DV-Zertifikate erfüllen die PCI-Anforderungen. Ihr Zahlungsanbieter (Stripe, PayPal) übernimmt ohnehin die sensibelsten Teile.
“Nutzer vertrauen EV-Seiten mehr.” Da Browser keinen visuellen Unterschied mehr zeigen (keine grüne Leiste seit 2019), können Nutzer EV nicht von DV unterscheiden. Studien zeigten, dass die meisten Nutzer die grüne Leiste nie bemerkt haben, selbst als sie noch existierte.
Häufig gestellte Fragen
Rankt Google EV-Seiten höher als DV?
Nein. Google hat bestätigt, dass der Typ des SSL-Zertifikats die Suchrankings nicht beeinflusst. Jedes gültige HTTPS-Zertifikat liefert das gleiche SEO-Signal.
Kann ich später von DV auf OV upgraden?
Ja. Kaufen Sie ein OV-Zertifikat von einer kommerziellen CA und ersetzen Sie die Dateien auf Ihrem Server. Keine Migration oder Ausfallzeit nötig.
Warum drängen kommerzielle CAs auf EV?
Umsatz. EV-Zertifikate kosten 100-500 $/Jahr gegenüber 0 $ für DV von Let’s Encrypt. CA-Marketing betont Vertrauen und Garantie, aber die Verschlüsselung ist identisch und die grüne Leiste ist weg.
Was ist mit der Garantie bei bezahlten Zertifikaten?
Zertifikatsgarantien decken Schäden ab, wenn die CA ein Zertifikat an die falsche Partei ausstellt (Fehlausstellung). Sie decken NICHT ab, wenn Ihre Seite gehackt wird. In der Praxis sind Garantieansprüche extrem selten und haben enge Bedingungen. Es wurde nie eine bedeutende Garantieauszahlung öffentlich dokumentiert.