TSL/SSL-Zertifikate für Amazon Pay
Was ist TSL/SSL?
Transport Security Layer (TLS) und Secure Sockets Layer (SSL) sind Protokolle, die für die sichere Datenübermittlung zwischen einem Webserver und einem Browser mittels kryptografischer Algorithmen entwickelt wurde. Bei der Verschlüsselung mit TLS/SSL wird sichergestellt, dass übermittelte Daten aus der angegebenen Quelle stammen und während der Übertragung nicht von Dritten verändert oder gelesen wurden.
Ausführliche Informationen zu den von uns unterstützten TLS/SSL-Versionen finden Sie unter Häufig gestellte Fragen zu TLS/SSL.
HTTP versus HTTPS
Wenn eine URL-Adresse „HTTPS“ enthält, steht das „S“ für „secure“ (sicher) und zeigt an, dass die Datenübermittlung sicher ist. Der Unterschied zwischen HTTP und HTTPS liegt darin, dass Daten mit HTTPS über TLS/SSL-Protokolle übermittelt werden und hierüber gesichert sind.
TLS/SSL-Zertifikate
TLS/SSL nutzt Zertifikate, um die übermittelten Daten zu sichern und zu schützen. Ein Zertifikat enthält Identifizierungsinformationen über den Zertifikateigentümer, wie dessen Organisation, Land, Gültigkeitsdauer, Website-Adresse und die Zertifikat-ID der Person, die diese Informationen zertifiziert (signiert). Außerdem enthält es den öffentlichen Schlüssel sowie einen Hash-Algorithmus, der gewährleistet, dass das Zertifikat nicht verändert wurde.
Dies ist ein Beispiel für ein Zertifikat:
Company Root CA 9
==================
-----BEGIN CERTIFICATE-----
MIIDQTCCAimgITBmyfz5m/jAo54vB4iXxxababbmljZbyjANBgkqhkiG9w0BAQsF
ADA5MQswCQYDVQQGEwJVUzEPMA0GA1UEChMGQW1hem9uMRkwFwYDVQQDExBBbWF6
b24gUm9vdCBDQSAxMB4XDTE1MDUyNjAwMDAwMFoXDTM4MDExNzAwMDAwMFowOTEL
N+gDS63pYaACbvXy8MWy7Vu33PqUXHeeE6V/Uq2V8viTO96LXFvKWlJbYK8U90vv
o/ufQJVtMVT8QtPHRh8jrdkPSHCa2XV4cdFyQzR1bldZwgJcJmApzyMZFo6IQ6XU
5MsI+yMRQ+hDKXJioaldXgjUkK642M4UwtBV8ob2xJNDd2ZhwLnoQdeXeGADbkpy
rqXRfboQnoZsG4q5WTP468Sample
-----END CERTIFICATE-----
Zertifikatketten
Große globale Zertifizierungsstellen (Certificate Authorities, CA) zertifizieren andere regionale Agenturen, damit diese TLS/SSL-Zertifikate ausstellen können. Wenn das Zertifikat eines Servers von einer solchen zwischengeschalteten CA ausgestellt wurde, muss der Server auch das Zertifikat der zwischengeschalteten CA hosten, welches dann wiederum anhand eines lokal gespeicherten vertrauenswürdigen Root-Zertifikats verifiziert werden kann.
Die Schritte zur Verifizierung einer Kette sehen wie folgt aus:
- Laden Sie die Zertifikate vom Server herunter.
- Vergewissern Sie sich, dass das Serverzertifikat mit dem Namen der Website übereinstimmt und vom zwischengeschalteten Zertifikat signiert wurde.
- Vergewissern Sie sich, dass das zwischengeschaltete Zertifikat von einem der lokal gespeicherten vertrauenswürdigen Root-Zertifikats signiert wurde.
Zwischengeschaltete CAs können Zertifikate für andere CAs ausstellen, die Zertifikatkette kann also mehr als 3 Zertifikate umfassen.
Warum werden TLS/SSL-Zertifikate benötigt?
Folgende Gründe sprechen für die Verwendung eines TLS/SSL-Zertifikats:
- Sicherheit: Der Hauptgrund für die Verwendung eines TLS/SSL-Zertifikats ist der sichere Datenaustausch zwischen dem Browser eines Käufers und Ihrem Server. So kann verhindert werden, dass Bestellungs- und Zahlungsdetails oder Daten des Käufers, wie dessen Benutzername und Passwort, im Internet offengelegt werden und abgefangen werden können.
- Vertrauen des Käufers: Wenn Sie ein TLS/SSL-Zertifikat erwerben, stellt
die CA ein Siegel aus, das Sie auf Ihrer Website einbinden können. Dieses
Siegel weckt Vertrauen in Ihre Website, denn Käufer wissen dadurch, dass
ihre Daten geschützt sind.
Beispiele für Siegel:
- Website-Traffic: Suchmaschinen wie Google stufen Shops mit unsicheren Verbindungen niedriger ein. Hierdurch sinkt die Kundenfrequenz.
TSL/SSL-Zertifikate und Anforderungen von Amazon
Amazon Pay und Login mit Amazon
Amazon empfiehlt immer eine sichere Verbindung zu verwenden. Es gibt jedoch zwei Fälle bei denen SSL-Zertifikate zwingend erforderlich sind wenn Sie Amazon Pay und Login mit Amazon einbinden:
- Login
Es gibt zwei Optionen für den Login von Käufern, entweder über ein Popup-Fenster oder durch das Weiterleiten des Käufers auf eine andere Webseite.
- Login über Popup: Der Button selbst muss sich auf einer HTTPS-Seite befinden.
- Login über Weiterleitung: Die Rückleitungs-URL muss sich auf einer gesicherten Seite befinden.
- IPN-Sofortbenachrichtigungen
IPN-Sofortbencahrichigungen (Instant Payment Notification) können nur an einen sicheren Endpunkt gesendet werden. Ohne gültiges Zertifikat kann Amazon nicht feststellen, ob der Server, der die IPN-Nachrichten empfängt, tatsächlich zum Händler gehört oder zu jemandem, der versucht, Daten abzufangen.
Hinweis: Sie benötigen kein SSL-Zertifikat wenn Sie in einer lokalen Umgebung testen (also http://localhost).
MD5 mit RSA-Einschränkung
Amazon überprüft das Ende der Zertifikatkette (normalerweise eine Domäne wie example.com) und stellt keine TLS/SSL-Handshake-Verbindung mit einer Seite her, die einen Zertifikatsignaturalgorithmus verwendet, der MD5 mit RSA-Verschlüsselung nutzt.
Gehen Sie wie folgt vor, um den Verschlüsselungsalgorithmus Ihrer Seite zu prüfen.
In Firefox
- Besuchen Sie Ihre Seite über das sichere https-Protokoll (https://).
- Klicken Sie auf das Seitensymbol links neben dem Domain-Namen. Dadurch wird ein Dialogfeld mit Informationen zum Host geöffnet.
- Klicken Sie auf die Schaltfläche Weitere Informationen, um das Dialogfeld Seiteninformation zu öffnen.
- Klicken Sie im Feld Seiteninformation auf das Symbol Sicherheit und klicken Sie anschließend auf die Schaltfläche Zertifikat anzeigen, um das Dialogfeld Zertifikatansicht anzuzeigen.
- Klicken Sie im Fenster Zertifikatansicht auf den Tab Details. Scrollen Sie anschließend im Listenfeld Zertifikats-Layout nach unten und klicken Sie auf Zertifikatunterzeichnungs-Algorithmus, um den Feld-Wert anzuzeigen. Im Feld „Feld-Wert” wird der verwendete Zertifikatalgorithmus angezeigt.
- Wenn als Feld-Wert „MD5 mit RSA-Verschlüsselung“ angezeigt wird, kann das Zertifikat nicht für Amazon Payments verwendet werden.
In IE 7
- Besuchen Sie Ihre Seite über das sichere https-Protokoll (https://).
- Klicken Sie auf das Sicherheitssymbol (ein Schloss) rechts neben dem Domain-Namen. Dadurch wird das Popup-Fenster Websiteidentifizierung geöffnet.
- Klicken Sie im Fenster Websiteidentifizierung auf Zertifikate anzeigen, um das Dialogfeld Zertifikate anzuzeigen.
- Klicken Sie im Feld Zertifikate auf den Tab Details, um den verwendeten Signaturalgorithmus anzuzeigen.
- Wenn hier der Wert „md5RSA“ angezeigt wird, kann das Zertifikat nicht für Amazon Payments verwendet werden.
In Safari 8
- Besuchen Sie Ihre Seite über das sichere https-Protokoll (https://).
- Klicken Sie auf das Sicherheitssymbol (ein Schloss) links neben dem Domain-Namen. Dadurch wird das Popup-Fenster Websiteidentifizierung geöffnet.
- Klicken Sie im Fenster Websiteidentifizierung auf Zertifikat anzeigen, um das Dialogfeld Zertifikat anzuzeigen.
- Klicken Sie im Feld Zertifikate auf den Tab Details, um den verwendeten Signaturalgorithmus anzuzeigen.
- Wenn hier der Wert „md5RSA“ angezeigt wird, kann das Zertifikat nicht für Amazon Payments verwendet werden.
Häufige TLS/SSL-Fehler
Fehlendes zwischengeschaltetes Zertifikat
Dieser Fehler tritt auf, wenn das Zertifikat zwar richtig installiert wurde, der Server jedoch das zwischengeschaltete Zertifikat nicht speichert und somit keine Vertrauenskette erstellt werden kann. Vergewissern Sie sich, dass die Zertifikate in der Kette lokal gespeichert werden.
Diskrepanz bei Zertifikatnamen
Der Name im installierten Zertifikat unterscheidet sich von der Adresse der Website. Sprich das installierte Zertifikat gehört zu einer anderen Website. Sie müssen ein neues Zertifikat für die Website erwerben.
Erwerb eines Zertifikats
Zertifikate können über das Internet von vielen Host-Anbietern gekauft werden.
TLS/SSL-Zertifikate werden von einem Netzwerk an Zertifizierungsstellen (CAs) ausgestellt und gewartet. Dies sind meist bekannte Unternehmen aus der IT-Branche, die strikte Sicherheitsstandards erfüllen müssen.
Es gibt zwei Arten an Zertifikaten: standardmäßig und erweitert. Die Standardversion erfüllt die Anforderungen für Amazon Pay und Login mit Amazon, ist günstiger als die erweiterte Version und wird nach dem Kauf binnen Minuten ausgestellt.
Die Preise für Zertifikate ändern sich mit der Zeit und viele Zertifikate sind als kostenlose 30-Tage-Testversion erhältlich, die kostenfrei wieder abbestellt werden kann, falls Sie damit nicht zufrieden sind.
Von Amazon genehmigte TSL/SSL-Zertifikate
Amazon Pay und Login mit Amazon unterstützt derzeit TLS/SSL-Zertifikate mit Root-Zertifkaten von allen, auf folgender Seite aufgelisteten Zertifizierungsstellen (Certificate Authorities, CA): Certificate Authorities (CA) Recognized by Amazon SNS for HTTPS Endpoints.