Sichere Webseiten – SSL-Zertifikate
Um aus einer „normalen“ eine sichere Website zu machen, muss deren Betreiber / -Inhaber ein SSL (Secure Sockets Layer bzw. TLS (Transport Layer Security = Transportschichtsicherheit) -Zertifikat erwerben.
Unter den zahlreichen Unternehmen, die solche Transport-Zertifikate anbieten, sind GeoTrust und Symantec wohl die bekanntesten. Allerdings hat Symantec 2017 Negativschlagzeilen gemacht, da Google die veraltete PKI (Public Key = Öffentlicher Schlüssel Infrastruktur) des Unternehmens bemängelte. Nach Googles Drohung, diese Zertifikate in Zukunft als nicht vertrauenswürdig einzustufen, hat Symantec den Bereich der Zertifikatsausgabe an DigiCert verkauft.
Seit März 2018 warnt der Chrome Browser vor Webseiten mit den alten Symantec-Zertifikaten. Als sichere Webseite wird nur noch eine akzeptiert, die ein neues, › von DigiCert ausgestelltes Zertifikat verwendet.
Die Kosten für die Zertifikate variieren je nach Anbieter. Bisher bietet nur › Let’s Encrypt eine vertrauenswürdige kostenlose Verschlüsselung an. Allerdings arbeiten nicht alle Hosting-Anbieter mit diesem Unternehmen zusammen. Die meisten „Let’s Encrypt-Anbieter“ berechnen die Einrichtung und regelmäßige Aktualisierung des Zertifikats im Rahmen ihrer Hosting-Kosten.
Erkennen der Verschlüsselung
Zunächst erkennst du sichere Webseiten an der URL. Bei unverschlüsselten Webseiten beginnt die URL mit http://… (Hypertext Transfer Protocol = Hypertext Übertragungsprotokoll). Im Gegensatz dazu beginnt die URL bei verschlüsselten Seiten mit https://… (HTTP S ecure = sicher).
Außerdem zeigt der Browser in der Suchleiste vor der URL ein Schloss. Abhängig vom Browser ist dies grün oder grau. Wenn die Webseite unsicher ist, ist das Schloss orange, durchgestrichen oder fehlt. Außerdem befindet sich daneben oft noch ein Info-Button.
Sichere Webseiten – Technik
Sobald du sichere Webseiten aufrufst, passiert folgendes:
- Hello vom Client: Dein Browser verbindet sich mit dem Server über ein Protokoll mit Verschlüsselungsoptionen.
- Server Hello: Der Server akzeptiert die Anfrage und sendet sein Zertifikat / seinen öffentlichen Schlüssel zurück.
- Browser überprüft das Zertifikat: Wenn es ungültig ist, wird die Verbindung abgebrochen; ist es gültig, so wird ein symmetrischer Sitzungsschlüssel erzeugt.
- Erster Handshake: Der Browser verschlüsselt den Sitzungsschlüssel mit dem öffentlichen Schlüssel des Servers und schickt ihn zurück.
- Zweiter Handshake: Mit seinem privaten Schlüssel entschlüsselt der Server diesen und bestätigt den geheimen Sitzungsschlüssel.
Anschließend erfolgt die Übertragung aller Anfragen und Antworten dieser Sitzung verschlüsselt. Je nachdem, wie lange der Verbindungsaufbau dauert, kannst du am linken unteren Rand deines Browsers den Vorgang verfolgen.
Informationen über sichere Webseiten
Grundsätzlich hast du bei jedem Browser die Möglichkeit, mehr Details zur Sicherheit der jeweiligen Website abzurufen. Abgesehen von den unterschiedlichen Schlössern für sichere Webseiten, ist jedoch auch die Ausführlichkeit der Information Browser-abhängig.
Safari
Wenn es sich um sichere Webseiten handelt, befindet sich vor der URL ein graues Schloss.
- Auf das Schloss klicken = Hinweis zur (Un-)Sicherheit der Verbindung
- Zertifikat einblenden
- Informationen über die Gültigkeit des Zertifikats sowie
- auf das Schild neben der Suchleiste klicken = Hinweis auf (Tracking-) Cookies
Opera
Sichere Webseiten sind am grauen Schloss zu erkennen, unsichere am grauen Warndreieck.
- Auf das Symbol klicken = Hinweis zur (Un-)Sicherheit der Verbindung
- Details einblenden
- Informationen über die Gültigkeit des Zertifikats sowie
- Hinweis auf (Tracking-)Cookies
Chrome
Auch hier weist ein graues Schloss auf eine verschlüsselte Webseite hin. Bei allen anderen Seiten steht ein graues Info-Symbol vor der URL.
- Wiederum auf das Symbol klicken = wie oben
- Erläuterungen zu Cookies
Firefox
Dort steht vor sicheren Webseiten ebenfalls ein graues Schloss, vor unsicheren ist dieses Symbol durchgestrichen. Wenn du auf das Schloss klickst, blendet Firefox darunter den Anbieter der Verschlüsselung ein.
- Ein Klick auf das Schloss = wie oben
- sowie auf das Schild links daneben
- Liste der (Tracking-)Cookies und ggfs.
- Hinweis, dass Firefox bestimmte Inhalte blockiert hat
Sichere Webseiten oder doch nicht?
Zwar kannst du eigentlich davon ausgehen, dass du mit https://… sichere Webseiten aufrufst. Dennoch gibt auch hier leider manchmal Problemfälle. Deshalb solltest du dir vor jedem Klick auf einen Link überlegen, ob du dieser Seite vertraust. Obwohl diese Warnung in manchen Fällen nur durch einzelne unsichere Inhalte auf einer verschlüsselten Website (siehe auch Hellgraue Schafe) ausgelöst wird, solltest du sie trotzdem immer ernst nehmen.
Besonders dreist sind „sichere“ Webseiten mit betrügerischen Absichten. Zunächst zeigt dir die URL eine Verschlüsselung an. Anschließend wirst du aber unbemerkt auf eine unsichere Seite umgeleitet, die dann deine Daten abgreift.
Schwarze Schafe
Warnungen sehen so aus: Wir weisen Sie darauf hin, dass …
… Sie keine vertraulichen Informationen wie Passwörter oder Kreditkartennummern eingeben sollten, da sie von Angreifern gestohlen werden könnten.
Quelle: Opera
… die Verbindung zu dieser Webseite nicht vertraulich ist. Von Ihnen übermittelte Informationen (wie Passwörter, Nachrichten, Kreditkartendaten, usw.) könnten von Anderen eingesehen werden.
Quelle: Firefox
Eventuell blendet Firefox folgende bildschirmfüllende Mitteilung ein:
Diese Verbindung ist nicht sicher
Der Inhaber von www.xxx.xx hat die Website nicht richtig konfiguriert. Firefox hat keine Verbindung mit dieser Webseite aufgebaut, um Ihre Informationen vor Diebstahl zu schützen.
Weitere Informationen …
Quelle: Firefox
Google reagiert mit einer ähnlichen Warnung:
Dies ist keine sichere Verbindung. Hacker könnten versuchen, Ihre Daten von http://… zu stehlen, zum Beispiel Passwörter, Nachrichten oder Kreditkartendaten.
NET::ERR_CERT_AUTHORITY_INVALID
Quelle: Google
Safari lädt solche Seiten u. U. gar nicht erst.
Manche dieser unsicheren Websites sind auch einfach nur veraltet. Das bedeutet, sie wurden zu einem Zeitpunkt erstellt, als die Verschlüsselung noch nicht Standard war. Da sie zwischenzeitlich nicht nachträglich verschlüsselt wurden, spricht das auch nicht gerade für das Verantwortungsbewusstsein des Betreibers.
Anmerkung: Die URLs in den Abbildungen sind unkenntlich gemacht, da es weder mein Ziel ist, einzelne Webseiten positiv hervorzuheben, noch sie öffentlich an den Pranger zu stellen. Die Darstellungen könnten sich also auf jede x-beliebige Website der entsprechenden Kategorie beziehen.
Dunkelgraue Schafe
Auch hierbei unterscheiden sich die Browser voneinander. So
- fehlt bei Safari das Schloss,
- Opera und Google zeigen einen allgemeinen Hinweis auf die unsichere Webseite
- oder eine zusätzliche Mitteilung wie bei Firefox:
Firefox hat nicht sichere Inhalte dieser Seite blockiert.
Quelle: Firefox
Hellgraue Schafe
Dazu zählen sichere Webseiten, die aber unverschlüsselte Bereiche enthalten. Meistens sind das Abbildungen oder Grafiken, die u. U. von anderen Servern heruntergeladen werden.
Zunächst weist Opera auf die ungeschützt Verbindung hin. Unter Details informiert dich der Browser über das Zertifikat, die Art der Verbindung und dass die Seite unsichere Inhalte hat.
Im Chrome-Browser siehst du die Mitteilung, dass
die Verbindung zu dieser Seite nicht uneingeschränkt sicher ist. Angreifer können unter Umständen Bilder sehen, die Sie sich auf dieser Webseite ansehen, und könnten dann versuchen, Sie durch Ändern der Bilder zu täuschen.
Quelle: Google
Dagegen warnt dich Firefox schon mit einem gelben Warndreieck auf dem grauen Schloss. Nachdem du auf das Symbol geklickt hast, erklärt dir Firefox
… Verbindung ist nicht sicher. Teile dieser Seite sind nicht sicher. Dies können z. B. Grafiken sein.
… mit dieser Webseite geteilte Informationen können von anderen eingesehen werden. Obwohl Firefox Inhalte blockiert hat, enthält diese Seite noch nicht sichere Inhalte (wie z. B. Grafiken).
Und unter technische Details: Verbindung teilweise verschlüsselt. Teile der Seite, die Sie ansehen, wurden nicht verschlüsselt, bevor sie über das Internet übertragen wurden.
Quelle: Firefox
Weiße Schafe = sichere Webseiten
Diese Webseiten sind komplett verschlüsselt. Je nach Browser (s. Informationen zur Verschlüsselung) erhältst du mehr oder weniger detaillierte Angaben zu der betreffenden Website. Am ausführlichsten informiert dich Firefox.
Sichere Webseiten erkennen – Zusammenfassung
Sichere Webseiten tragen maßgeblich zur Sicherheit im Internet bei. Dennoch ist eine URL mit https://… leider nicht immer eine Garantie für sichere Webseiten.
Doch es gibt immer noch zahlreiche teilverschlüsselte Webseiten, deren URL zwar mit https:// beginnt, die aber unsichere Inhalte enthalten. Oder sie arbeiten mit fragwürdigen Zertifikaten. Deshalb ist es sinnvoll, die Sicherheit der von dir aufgerufenen Webseiten zu hinterfragen, um besser vor Datenmissbrauch geschützt zu sein.
Da der Druck auf die Website-Betreiber / -inhaber seitens der Suchmaschinen (Stichwort: Ranking von Websites) und Browser größer wird, sichere Webseiten anzubieten, wird die Verschlüsselung hoffentlich bald selbstverständlich sein. Denn welches seriöse und ambitionierte Unternehmen möchte schon, dass seine Website im Ranking abrutscht oder von den Browsern blockiert wird.
Zwar werden diese Maßnahmen Betrüger nicht vollkommen aus dem Internet verbannen, aber sie sind zumindest ein weiterer Schritt in Richtung sichereres Internet.
Fazit
Auf den Punkt gebracht: Auch du als Nutzer kannst Einfluss nehmen, indem du nur noch sichere Webseiten besuchst. Misstraue und verlasse unsichere Seiten spätestens dann, wenn sie Daten abfragen (Login, Angaben zur Kreditkarte oder Bankverbindung, etc. ).
© eb | › Externe Verlinkungen: Dieser Beitrag enthält keine Affiliate-/Partner-Links.