Sichere Webseiten | Was bedeutet Verschlüsselung?

Nicht nur Google als größte Suchmaschine favorisiert sichere Webseiten. Aber woran erkennst du, dass eine Seite wirklich sicher ist?

Aktualisiert am 28-11-2019, Ellena

Sichere Webseiten
Grafik: eb

Sichere Webseiten – SSL-Zertifikate

Um aus einer „normalen“ eine sichere Website zu machen, muss deren Betreiber / -Inhaber ein SSL (Secure Sockets Layer bzw. TLS=Transport Layer Security = Transportschichtsicherheit)-Zertifikat erwerben.

Unter den zahlreichen Unternehmen, die solche Transport-Zertifikate anbieten, sind GeoTrust und Symantec wohl die bekanntesten. Allerdings hat Symantec 2017 Negativschlagzeilen gemacht, da Google die veraltete PKI-Infrastruktur des Unternehmens bemängelte. Nach Googles Drohung, diese Zertifikate in Zukunft als nicht vertrauenswürdig einzustufen, hat Symantec den Bereich der Zertifikatsausgabe an DigiCert verkauft.

Seit März 2018 warnt der Chrome Browser vor Webseiten mit den alten Symantec-Zertifikaten. Als sichere Webseite wird nur noch eine akzeptiert, die ein neues, von DigiCert ausgestelltes Zertifikat verwendet.

Die Kosten für die Zertifikate variieren je nach Anbieter. Bisher bietet nur Let’s Encrypt eine vertrauenswürdige kostenlose Verschlüsselung an. Allerdings arbeiten nicht alle Hosting-Anbieter mit diesem Unternehmen zusammen.

Erkennen der Verschlüsselung

Zunächst erkennst du sichere Webseiten an der URL. Bei unverschlüsselten Webseiten beginnt die URL mit http://… (Hypertext Transfer Protocol = Hypertext Übertragungsprotokoll). Im Gegensatz dazu beginnt die URL bei verschlüsselten Seiten mit https://… (HTTP Secure = sicher).

Außerdem zeigt der Browser in der Suchleiste vor der URL ein Schloss. Abhängig vom Browser ist dies grün oder grau. Wenn die Webseite unsicher ist, ist das Schloss orange oder fehlt. Außerdem befindet sich daneben oft noch ein Info-Button.

Sichere Webseiten – Technik

Sobald du sichere Webseiten aufrufst, passiert folgendes:

  • Hello vom Client: Dein Browser verbindet sich mit dem Server über ein Protokoll mit Verschlüsselungsoptionen.
  • Server Hello: Der Server akzeptiert die Anfrage und sendet sein Zertifikat / seinen öffentlichen Schlüssel zurück.
  • Browser überprüft das Zertifikat: Wenn es ungültig ist, wird die Verbindung abgebrochen; ist es gültig, so wird ein symmetrischer Sitzungsschlüssel erzeugt.
  • Erster Handshake: Der Browser verschlüsselt den Sitzungsschlüssel mit dem öffentlichen Schlüssel des Servers und schickt ihn zurück.
  • Zweiter Handshake: Mit seinem privaten Schlüssel entschlüsselt der Server diesen und bestätigt den geheimen Sitzungsschlüssel.

Anschließend erfolgt die Übertragung aller Anfragen- und Antworten dieser Sitzung verschlüsselt. Je nachdem, wie lange der Verbindungsaufbau dauert, kannst du am linken unteren Rand deines Browser den Vorgang verfolgen.

Informationen über sichere Webseiten

Grundsätzlich hast du bei jedem Browser die Möglichkeit, mehr Details zur Sicherheit der jeweiligen Website abzurufen. Abgesehen von den unterschiedlichen Schlössern für sichere Webseiten, ist jedoch auch die Ausführlichkeit der Information Browser-abhängig.

Safari

Wenn es sich um sichere Webseiten handelt, befindet sich vor der URL ein graues Schloss. Bei unsicheren Seiten steht anstelle des Schlosses Unsichere Seite. Deshalb kannst du auch keine genaueren Angaben abrufen.

Opera

Sichere Webseiten sind am grünen Schloss zu erkennen, unsichere am grauen Internet-Symbol.

  1. Auf das Symbol klicken = Hinweis zur (Un-)Sicherheit der Verbidung
  2. Details einblenden
  3. Informationen über die Gültigkeit des Zertifikats sowie
  4. Hinweis auf (Tracking-)Cookies (s. Abb. 01, 02)

Chrome

Auch hier weist ein grünes Schloss auf eine verschlüsselte Webseite hin. Bei allen anderen Seiten steht ein graues Info-Symbol vor der URL.

  1. Wiederum auf das Symbol klicken = wie oben
  2. Erläuterungen zu Cookies (s. Abb. 03, 04)

Firefox

Ähnlich wie bei Chrome steht vor sicheren Webseiten ein grünes Schloss, vor unsicheren ein graues i-Symbol. Wenn du auf das Schloss klickst, blendet Firefox darunter den Anbieter der Verschlüsselung ein.

  1. Ein Klick auf das Schloss = wie oben
  2. sowie auf das Schild links daneben
  3. Liste der (Tracking-)Cookies und ggfs.
  4. Hinweis, dass Firefox bestimmte Inhalte blockiert hat

Bei älteren Firefox-Versionen klickst du auf den Pfeil und erhältst Informationen zur Website-Identität, zur Art des Zertifikats, dessen Gültigkeit, zum Tracking sowie zu Cookies (s. Abb. 05-07).

Sichere Webseiten oder doch nicht?

Zwar kannst du eigentlich davon ausgehen, dass du mit https://… sichere Webseiten aufrufst. Dennoch gibt auch hier leider manchmal Problemfälle. Deshalb solltest du dir vor jedem Klick auf einen Link überlegen, ob du dieser Seite vertraust. Obwohl diese Warnung in manchen Fällen nur durch einzelne unsichere Inhalte auf einer verschlüsselten Website siehe auch Hellgraue Schafe) ausgelöst wird, solltest du sie trotzdem immer ernst nehmen (Abb. 3).

Besonders dreist sind „sichere“ Webseiten mit betrügerischen Absichten. Zunächst zeigt dir die URL eine Verschlüsselung an. Anschließend wirst du aber unbemerkt auf eine unsichere Seite umgeleitet, die dann trotzdem deine Daten abgreift.

Schwarze Schafe

Warnungen sehen so aus: Wir weisen Sie darauf hin, dass …

… Sie keine vertraulichen Informationen wie Passwörter oder Kreditkartennummern eingeben sollten, da sie von Angreifern gestohlen werden könnten.

(Opera)

… die Verbindung zu dieser Webseite nicht vertraulich ist. Von Ihnen übermittelte Informationen (wie Passwörter, Nachrichten, Kreditkartendaten, usw.) könnten von Anderen eingesehen werden.

(Firefox)

Eventuell blendet Firefox folgende bildschirmfüllende Mitteilung ein:

Diese Verbindung ist nicht sicher
Der Inhaber von www.xxx.xx hat die Website nicht richtig konfiguriert. Firefox hat keine Verbindung mit dieser Webseite aufgebaut, um Ihre Informationen vor Diebstahl zu schützen.
Weitere Informationen …
Fehler an Mozilla melden, um beim Identifizieren und Blockieren böswilliger Websites zu helfen.

Google reagiert mit einer ähnlichen Warnung:

Dies ist keine sichere Verbindung. Hacker könnten versuchen, Ihre Daten von http://… zu stehlen, zum Beispiel Passwörter, Nachrichten oder Kreditkartendaten.
NET::ERR_CERT_AUTHORITY_INVALID

Safari lädt solche Seiten u. U. gar nicht erst (Abb. 4).

Dunkelgraue Schafe

Auch hierbei unterscheiden sich die Browser voneinander. So

  • fehlt bei Safari das Schloss,
  • Opera und Google zeigen einen allgemeinen Hinweis auf die unsichere Webseite
  • oder eine zusätzliche Mitteilung wie bei Firefox sein.

Firefox hat nicht sichere Inhalte dieser Seite blockiert.

Hellgraue Schafe

Dazu zählen sichere Webseiten, die aber unverschlüsselte Bereiche enthalten. Meistens sind das Abbildungen oder Grafiken, die u. U. von anderen Servern heruntergeladen werden.

Zunächst weist Opera auf die ungeschützt Verbindung hin. Unter Details informiert dich der Browser über das Zertifikat, die Art der Verbindung und dass die Seite unsichere Inhalte hat.

Im Chrome-Browser siehst du die Mitteilung, dass

die Verbindung zu dieser Seite nicht uneingeschränkt sicher ist. Angreifer können unter Umständen Bilder sehen, die Sie sich auf dieser Webseite ansehen, und könnten dann versuchen, Sie durch Ändern der Bilder zu täuschen.

Dagegen warnt dich Firefox schon mit einem gelben Warndreieck auf dem grauen Schloss. Nachdem du auf das Symbol geklickt hast, erklärt dir Firefox

… Verbindung ist nicht sicher. Teile dieser Seite sind nicht sicher. Dies können z. B. Grafiken sein.
… mit dieser Webseite geteilte Informationen können von anderen eingesehen werden. Obwohl Firefox Inhalte blockiert hat, enthält diese Seite noch nicht sichere Inhalte (wie z. B. Grafiken).
Und unter technische Details: Verbindung teilweise verschlüsselt. Teile der Seite, die Sie ansehen, wurden nicht verschlüsselt, bevor sie über das Internet übertragen wurden.

Weiße Schafe = sichere Webseiten

Diese Webseiten sind komplett verschlüsselt. Je nach Browser (s. Informationen zur Verschlüsselung) erhältst du mehr oder weniger detaillierte Angaben zu der betreffenden Webseite. Am ausführlichsten informiert dich Firefox (Abb. 7).

Alle Abbildungen ansehen »

Anmerkung: Die URLs in den Abbildungen sind z. T. unkenntlich gemacht, da es nicht mein Ziel ist, einzelne Webseiten positiv hervorzuheben oder öffentlich an den Pranger zu stellen. Die Darstellungen könnten sich also auf jede x-beliebige Website der entsprechenden Kategorie beziehen.

Fazit

Sichere Webseiten tragen maßgeblich zur Sicherheit im Internet bei. Dennoch ist eine URL mit https://… leider nicht immer eine Garantie für sichere Webseiten.

So gibt es immer noch zahlreiche teilverschlüsselte Webseiten, deren URL zwar mit https:// beginnt, die aber unsichere Inhalte enthalten. Oder sie arbeiten mit fragwürdigen Zertifikaten. Deshalb ist es sinnvoll, die Sicherheit der von dir aufgerufenen Webseiten zu hinterfragen, um besser vor Datenmissbrauch geschützt zu sein.

Da der Druck auf die Webseiten-Betreiber / -inhaber seitens der Suchmaschinen und Browser größer wird, sichere Webseiten anzubieten, wird die Verschlüsselung hoffentlich bald selbstverständlich sein. Denn welches seriöse und ambitionierte Unternehmen möchte schon, dass seine Webseite im Ranking abrutscht oder von den Browsern blockiert wird.

Außerdem kannst auch du als Nutzer Einfluss nehmen, indem du nur noch sichere Webseiten besuchst. Misstraue und verlasse unsichere Seiten spätestens dann, wenn sie Daten abfragen (Login, Angaben zur Kreditkarte oder Bankverbindung, etc. ).

Zwar werden diese Maßnahmen Betrüger nicht vollkommen aus dem Internet verbannen, aber sie sind zumindest ein weiterer Schritt in Richtung sichereres Internet.


Mehr zum Thema

SSL
SSL-Zertifikat installieren
Schadsoftware
Cyberkriminalität nimmt zu
EU Recht
Hat die DSGVO Websites verändert?