Sichere Webseiten | Was bedeutet Verschlüsselung?

. Veröffentlicht: • Aktualisiert: 2018-12-14

Nicht nur Google als größte Suchmaschine der Welt favorisiert sichere Webseiten. Auch die großen Browser warnen inzwischen vor Seiten ohne Zertifikat. Woran erkennst du, dass eine Seite wirklich sicher ist?

Sichere Webseiten – SSL-Zertifikate

Um aus einer normalen eine sichere Webseite zu machen, muss deren Betreiber / -Inhaber ein SSL (Secure Sockets Layer bzw. TLS=Transport Layer Security = Transportschichtsicherheit)-Zertifikat erwerben.

Sichere Webseiten
Illustration: eb / ebblogs

Unter den zahlreichen Unternehmen, die solche Transport-Zertifikate anbieten, sind GeoTrust und Symantec wohl die bekanntesten. Allerdings hat Symantec 2017 Negativschlagzeilen gemacht, da Google die veraltete PKI-Infrastruktur des Unternehmens bemängelte. Nach Googles Drohung, diese Zertifikate in Zukunft als nicht vertrauenswürdig einzustufen, hat Symantec den Bereich der Zertifikatsausgabe an DigiCert verkauft.

Seit März 2018 warnt der Chrome Browser vor Webseiten mit den alten Symantec-Zertifikaten. Als sichere Webseiten werden nur noch solche akzeptiert, die neue, von DigiCert ausgestellte Zertifikate verwenden.

Die Kosten für die Zertifikate variieren je nach Anbieter. Bisher bietet nur Let’s Encrypt eine vertrauenswürdige kostenlose Verschlüsselung an. Allerdings arbeiten nicht alle Hosting-Anbieter mit diesem Unternehmen zusammen.

» Technik
» Infos im Browser
» Sicher oder nicht?

Erkennen der Verschlüsselung

Zunächst erkennst du sichere Webseiten an der URL. Bei unverschlüsselten Webseiten beginnt die URL mit http://… (Hypertext Transfer Protocol = Hypertext Übertragungsprotokoll). Im Gegensatz dazu beginnt die URL bei verschlüsselten Seiten mit https://… (HTTP Secure = sicher).

Außerdem zeigt der Browser in der Suchleiste vor der URL ein Schloss. Abhängig vom Browser ist dies grün oder grau. Wenn die Webseite unsicher ist, ist das Schloss orange oder fehlt. Außerdem befindet sich daneben oft noch ein Info-Button.

Technik

Sobald du sichere Webseiten aufrufst, passiert folgendes:

  • Hello vom Client: Dein Browser verbindet sich mit dem Server über ein Protokoll mit Verschlüsselungsoptionen.
  • Server Hello: Der Server akzeptiert die Anfrage und sendet sein Zertifikat / seinen öffentlichen Schlüssel zurück.
  • Browser überprüft das Zertifikat: Wenn es ungültig ist, wird die Verbindung abgebrochen; ist es gültig, so wird ein symmetrischer Sitzungsschlüssel erzeugt.
  • Erster Handshake: Der Browser verschlüsselt den Sitzungsschlüssel mit dem öffentlichen Schlüssel des Servers und schickt ihn zurück.
  • Zweiter Handshake: Mit seinem privaten Schlüssel entschlüsselt der Server diesen und bestätigt den geheimen Sitzungsschlüssel.

Anschließend erfolgt die Übertragung aller Anfragen- und Antworten dieser Sitzung verschlüsselt.

Anschließend erfolgt die Übertragung aller Anfragen- und Antworten dieser Sitzung verschlüsselt. Je nachdem, wie lange der Verbindungsaufbau dauert, kannst du am linken unteren Rand deines Browser den Vorgang verfolgen.

Informationen zur Sicherheit

Grundsätzlich hast du bei jedem Browser die Möglichkeit, mehr Details zur Sicherheit der jeweiligen Webseite abzurufen.

Abgesehen von den unterschiedlichen Schlössern für sichere Webseiten, ist jedoch auch die Ausführlichkeit der Information Browser-abhängig.

Safari

Bei unsicheren Seiten fehlt einfach das Schloss (Abb. 1). Deshalb kannst du auch keine genaueren Angaben abrufen.
Wenn es sich um sichere Webseiten handelt,

+ auf das Schloss klicken
+ = Erklärung zur Sicherheit
++ Zertifikat einblenden
++ = Art, Ausstellungsdatum und Gültigkeit des Zertifikats
+++ Vertrauen und Details
+++ = ausführliche Angaben zur Webseite

Opera

Sichere Webseiten sind am grünen Schloss zu erkennen, unsichere am grauen Internet-Symbol.

+ auf das Symbol klicken
+ = Hinweis zur (Un-) Sicherheit der Verbindung
++ Details einblenden
++ = Informationen zur Art des Zertifikats, zur Verbindung und ggfs. zu Fehlern.

Darüber hinaus gibt es keine genaueren Angaben zur Webseite (Abb. 2).

Chrome

Auch hier weist ein grünes Schloss plus „Sicher“ auf eine verschlüsselte Webseite hin. Bei allen anderen Seiten steht ein graues Info-Symbol vor der URL.

+ wiederum auf das Symbol klicken
++ Angabe bzgl. der Sicherheit der Verbindung und
+++ Erläuterung zum Umgang mit vertraulichen Informationen.
+++++ Mit einem Klick auf Weitere Informationen
+++++ öffnet sich eine neue Seite mit einer allgemeinen Erklärung der Symbole und Angaben.

Weder erfährst du etwas über das Zertifikat, noch über die Verschlüsselungsmethode oder andere Details zur Webseite.

Firefox

Ähnlich wie bei Chrome steht vor sicheren Webseiten ein grünes Schloss, vor unsicheren ein graues i-Symbol. Wenn du auf das Schloss klickst, blendet Firefox darunter den Anbieter der Verschlüsselung ein.

+ ein Klick auf i
+ = Hinweis auf die (Un-) Sicherheit der Verbindung und Angaben zum Umgang mit vertraulichen Daten sowie ggfs. ein Hinweis darauf, dass Firefox bestimmte Inhalte blockiert hat.

Klickst du dann auf den Pfeil, erhältst Informationen zur Webseiten-Identität, zur Art des Zertifikats, dessen Gültigkeit, zum Datenschutz und zu technischen Details.

Sicher oder doch nicht?

Zwar kannst du eigentlich davon ausgehen, dass du mit https://… sichere Webseiten aufrufst. Dennoch gibt auch hier leider manchmal Problemfälle. Deshalb solltest du dir vor jedem Klick auf einen Link überlegen, ob du dieser Seite vertraust. Insbesondere wenn dich auch dein Browser vor einer Seite warnt, solltest du das ernst nehmen (Abb. 3).

Besonders dreist sind sichere Webseiten mit betrügerischen Absichten. Zunächst zeigt dir die URL eine Verschlüsselung an. Anschließend wirst du aber unbemerkt auf eine unsichere Seite umgeleitet, die dann trotzdem deine Daten abgreift.

Schwarze Schafe

Warnungen sehen so aus: Wir weisen Sie darauf hin, dass …

… Sie keine vertraulichen Informationen wie Passwörter oder Kreditkartennummern eingeben sollten, da sie von Angreifern gestohlen werden könnten.

(Opera)

… die Verbindung zu dieser Webseite nicht vertraulich ist. Von Ihnen übermittelte Informationen (wie Passwörter, Nachrichten, Kreditkartendaten, usw.) könnten von Anderen eingesehen werden.

(Firefox)

Eventuell blendet Firefox folgende bildschirmfüllende Mitteilung ein:

Diese Verbindung ist nicht sicher
Der Inhaber von www.xxx.xx hat die Website nicht richtig konfiguriert. Firefox hat keine Verbindung mit dieser Webseite aufgebaut, um Ihre Informationen vor Diebstahl zu schützen.
Weitere Informationen …
Fehler an Mozilla melden, um beim Identifizieren und Blockieren böswilliger Websites zu helfen.

Google reagiert mit einer ähnlichen Warnung:

Dies ist keine sichere Verbindung. Hacker könnten versuchen, Ihre Daten von http://… zu stehlen, zum Beispiel Passwörter, Nachrichten oder Kreditkartendaten.
NET::ERR_CERT_AUTHORITY_INVALID

Safari lädt solche Seiten u. U. gar nicht erst (Abb. 4).

Dunkelgraue Schafe

Auch hierbei unterscheiden sich die Browser voneinander. So

  • fehlt bei Safari das Schloss,
  • Opera und Google zeigen einen allgemeinen Hinweis auf die unsichere Webseite
  • oder eine zusätzliche Mitteilung wie bei Firefox sein (Abb. 5).

Firefox hat nicht sichere Inhalte dieser Seite blockiert.

Hellgraue Schafe

Dazu zählen sichere Webseiten, die aber unverschlüsselte Bereiche enthalten. Meistens sind das Abbildungen oder Grafiken, die u. U. von anderen Servern heruntergeladen werden.

Zunächst weist Opera auf die ungeschützt Verbindung hin. Unter Details informiert dich der Browser über das Zertifikat, die Art der Verbindung und dass die Seite unsichere Inhalte hat (Abb. 6).

Im Chrome-Browser siehst du die Mitteilung, dass

die Verbindung zu dieser Seite nicht uneingeschränkt sicher ist. Angreifer können unter Umständen Bilder sehen, die Sie sich auf dieser Webseite ansehen, und könnten dann versuchen, Sie durch Ändern der Bilder zu täuschen.

Dagegen warnt dich Firefox schon mit einem gelben Warndreieck auf dem grauen Schloss. Nachdem du auf das Symbol geklickt hast, erklärt dir Firefox

… Verbindung ist nicht sicher. Teile dieser Seite sind nicht sicher. Dies können z. B. Grafiken sein.
… mit dieser Webseite geteilte Informationen können von anderen eingesehen werden. Obwohl Firefox Inhalte blockiert hat, enthält diese Seite noch nicht sichere Inhalte (wie z. B. Grafiken).
Und unter technische Details: Verbindung teilweise verschlüsselt. Teile der Seite, die Sie ansehen, wurden nicht verschlüsselt, bevor sie über das Internet übertragen wurden.

Weiße Schafe

Diese Webseiten sind komplett verschlüsselt. Je nach Browser (s. Informationen zur Verschlüsselung) erhältst du mehr oder weniger detaillierte Angaben zu der betreffenden Webseite. Am ausführlichsten informiert dich Firefox (Abb. 7).


» ABBILDUNGEN


Anmerkung: Die URLs in den Abbildungen sind unkenntlich, da es nicht mein Ziel ist, einzelne Webseiten positiv oder negativ hervorzuheben. Die Darstellungen können sich also auf jede x-beliebige Seite der entsprechenden Kategorie beziehen.

Fazit

Sichere Webseiten tragen maßgeblich zur Sicherheit im Internet bei. Dennoch ist eine URL mit https://… leider nicht immer eine Garantie für sichere Webseiten.

So gibt es immer noch zahlreiche teilverschlüsselte Webseiten, deren URL zwar mit https:// beginnt, die aber unsichere Inhalte enthalten. Oder sie arbeiten mit fragwürdigen Zertifikaten. Deshalb ist es sinnvoll, die Sicherheit der von dir aufgerufenen Webseiten zu hinterfragen, um besser vor Datenmissbrauch geschützt zu sein.

Außerdem kannst auch du als Nutzer Einfluss nehmen, indem du nur noch sichere Webseiten besuchst. Misstraue und verlasse unsichere Seiten spätestens dann, wenn sie Daten abfragen (Login, Angaben zur Kreditkarte oder Bankverbindung, etc. ).

Da der Druck auf die Webseiten-Betreiber / -inhaber seitens der Suchmaschinen und Browser größer wird, sichere Webseiten anzubieten, wird die Verschlüsselung hoffentlich bald selbstverständlich sein. Denn welches seriöse und ambitionierte Unternehmen möchte schon, dass seine Webseite im Ranking abrutscht oder von den Browsern blockiert wird.

Zwar werden diese Maßnahmen Betrüger nicht vollkommen aus dem Internet verbannen, aber sie sind zumindest ein weiterer Schritt in Richtung sichereres Internet.


Das könnte dich auch interessieren:

Webseite verschlüsseln mit SSL-Zertifikat


Schreibe einen Kommentar