Lieber Karl,

OK, das heißt ich brauche IMMER ein Zertifikat von einem Drittanbieter wenn ich verschlüsselt übertragen möchte.

ja. Wie schon gesagt deshalb, damit der Browser die Schlüssel der Gegenseite als vertrauenswürdig einstuft und nicht meckert.

Wenn mir IMMER ein Zertifikat von einem Drittanbieter vorliegt liegt doch auch IMMER eine Verifizierung des Inhabers der URL vor,

Nein! Es liegt nur vor, dass das erstellte Zertifikat auch tatsächlich nur mit dieser URL genutzt wird. Wer der Inhaber ist, wird nicht überprüft, sondern nur, dass der Inhaber, der das Zertifikat angefordert hat, auch tatsächlich diese Domain inne hat, also der Inhaber ist.

damit könnte doch eigentlch auch IMMER der Name des Inhaber zusätzlich zum grünen Schloss angegeben werden,

Der Name des Inhabers ist bei der Anforderung des Zertifikats unbekannt. Es ist ein rein technisches Prüfverfahren, bei dem es um Zugriffsberechtigungen geht. Ich erinnere mich noch, als ich für Google Maps einen speziellen String in ein meta-Element aufnehmen musste, damit die API auch brav die Karte lud. Das war auch eine solche Prüfung, ob ich, der ich den Google-Maps-API-Schlüssel anfordere, auch der bin, der die Website kontrolliert. Mit den SSL-Zertifikaten ist es im Grunde genau so.

es liegt ja IMMER eine Verifzierung vor.

Aber was genau wird denn verifiziert...?!

So, und jetzt denken wir über Subdomains nach. Stellen wir uns doch folgende Subdomains vor: blog, forum, src, wiki. Wie wird das dann mit dem "Namen hinter dem Schloss"?

Liebe Grüße,

Felix Riesterer.