Home | Impressum  
 
Webseitenlogo

Allgemein

Grundlagen

Praxis

Sonstige Texte

Für Hinweise, Kommentare, oder Kritik nutzen Sie bitte den Menüpunkt "Kontakt & Sonstiges"

HTTPS – Sicher surfen mit einem „s“
 

Der sichere Weg ins Internet sollte nach Möglichkeit auch über eine sichere Verbindung führen, dieser Gedankengang scheint logisch - doch was bedeutet das für den Normalverbraucher der einfach nur „surfen“ will? In diesem Kapitel soll aus diesem Grund erklärt werden, wie man eine sichere Verbindung zu Webseiten herstellt, woran man eine sichere Verbindung erkennt, und warum man sie nutzen sollte.

Ansicht der Verbindung

- Ansicht in der URL
- Die Piktogramme
- Ansicht verbessern

Sicherung der Verbindung

- Gründe für die Sicherung
- Funktionsweise
- Umgang mit Zertifikaten
- Schwächen und Risiken
- Ist HTTPS überhaupt noch sicher
- Anwendung

sUnter Umständen ist es dem Einen oder Anderen schon einmal aufgefallen, dass bestimmte Webseiten sich beim Aufrufen etwas anders verhalten als die Übrigen.

Der aufmerksame Internetnutzer bemerkt nämlich ein Detail, das leicht übersehen werden kann - die URL der entsprechenden Webseite - in diesem Beispiel des DatenschFoeBuD - hat sich geändert und so beginnt die Adresse nun mit https:// (https://www.foebud.org/) anstelle des sonst üblichen http:// (http://www.foebud.org):

Diese Änderung der Adresse bedeutet, das die Verbindung zu dieser Seite nun verschlüsselt abläuft. Bei der Verwendung des sonst üblichen http:// (das steht für Hypertext Transfer Protocol ) werden die Daten während der Verbindung unverschlüsselt übertragen. Kann die Webseite per https:/ (Hypertext Transfer Protocol Secure) abgerufen werden, findet eine Verschlüsselung per SSL-Verfahren statt.

Bei Mozilla Firefox bis zur Version 2 gab es über die reine Änderung der URL hinaus noch weitere Hinweise, die den Benutzer auf die Verwendung einer gesicherten Verbindung hinwiesen. Zum einen nahm der Hintergrund der Internetadresse (URL) dabei einen gelblichen Farbton an und ein Schloss-Symbol erschien sowohl am rechten Ende des Eingabefeldes, als auch in der rechten unteren Ecke des Browsers.

SSL vor Firefox 3

Mit der Version 3.0 des Firefox änderte sich das Konzept völlig. Ab sofort finden sich weder Farbänderung noch das Symbol neben dem Eingabefeld - neben der Adressänderung gibt es nun ein neues Symbol als Hauptkriterium einer sicheren Verbindung.

Der Site Identification Button

Beim neuen Sicherheitskonzept des Firefox 3.0 spielt der Site Identification Button eine wichtige Rolle. Dabei handelt es sich zunächst einmal lediglich um ein farbiges Feld links neben der URL:

SSL ab Firefox 3


Ab Firefox 4.0 änderte sich das Erscheinungsbild des Site Identification Buttons. Da die farbliche Kennzeichnung der Veschlüsselung oft hinter dem kleinen farbigen Logo (Favicon) kaum zu erkennen war, setzte man im Firefox 4.0 auf eine Darstellung, bei der die Domain der Webseite farblich hervorgehoben wird:

SSL ab Firefox 4.0

Dieses Anpassung war im Firefox 3.5 zuvor nur durch Eingriffe in die about:config zu erreichen.

Das Feld mit dem Namen der Domain hat, je nach Sicherheit der Seite, eine unterschiedliche Farbe - grau, blau, oder grün. Klickt man auf dieses Feld, erhält man weitere Informationen in Form eines Textfeldes - und erblickt dabei Larry, den Passkontrolleur:

 

SSL-Hinweisfenster

Das Piktogramm des Kontrolleurs Larry hat die selbe Farbe wie besagter Button neben der URL und richtet sich nach dem Sicherheitsgrad der Seite.


Ein graues Icon
Ist das Icon grau bedeutet, dass sich die betreffende Seite nicht genau identifiziert hat und keine Verschlüsselung stattfindet. Dies wird bei den meisten Webseiten der Fall sein.

Ein blaues Icon
Ein blaues Icon zeigt an, dass sich die Webseite korrekt identifiziert hat und die Verbindung verschlüsselt wird. Allerdings bietet das Sicherheitszertifikat der Seite keine Informationen über den Betreiber.

Ein grünes Icon
Ist das Icon grün, wird ein besonderes Sicherheitszertifikat verwendet, dass sowohl die ausreichende Verschlüsselung, als auch die Identität des Betreibers bestätigt. Diesen Button wird man vermutlich am seltensten sehen - etwa beim Online-Banking (aber auch die englischsprachige Mozilla-Webseite, die Webseite von Campact und der Maildienst GMX sind auf diese Weise gesichert).

Will der Benutzer weitergehende Informationen erhalten, so genügt ein Klick auf um mehr zu erfahren. So wird etwa angezeigt, ob Cookies gesetzt, oder Passwörter gespeichert wurden. Selbstverständlich kann man dort auch das Zertifikat der Seite ansehen.

Der Vorteil dieser neuen Einteilung besteht darin, dass der Surfer in einfacher und verständlicher Weise nachvollziehen kann, wie Vertrauenswürdig die Seite samt ihrer Verbindung wirklich ist - das frühere Schloss-Symbol allein bot diese bequeme Möglichkeit nicht. Allerdings gibt es auch zwei Nachteile: Zum einen werden Menschen mit einer Farbsehschwäche benachteiligt - zum anderen blenden viele Webseiten genau an dieser Stelle ihr eigenes kleines farbiges Logo (Favicon) ein. Ob dieses Konzept die beste Lösung war, darüber lässt sich trefflich streiten.

Wer den Firefox 4 noch nicht verwendet, aber dennoch deutlicher auf die Verschlüsselung einer Webseite hingewiesen werden will, an dieser Stelle ein Tipp wie die Anzeige einer SSL-Verbindung bei Firefox 3 verbessert werden kann, so dass sie der im Firefox 4 gleicht und daher besser zu erkennen ist. sie deutlicher zu erkennen ist (Funktion und Umgang mit der about:config werden schnellstmöglich nachgeliefert, es war mir zunächst wichtig, diesen Hinweis überhaupt zu geben)

Man ruft den Firefox 3 auf und tippt in die Adresszeile about:config ein.

About config-Warnung

Die daraufhin erscheinende Warnung kann mit einem Klick auf "ich werde vorsichtig sein, versprochen" ebenso ignoriert werden, wie die lange Liste von Einträgen mit denen sich die about:config präsentiert. Stattdessen gibt man in der Leiste "Filter" folgendes ein: browser.ide

Daraufhin wird nur noch ein Eintrag angezeigt: browser.identity.ssl_domain_location

(Abbildung folgt)

Hier ist der Wert von Interesse. Standardmäßig ist er auf null gesetzt. Mit einem Doppelklick auf die Null öffnet sich ein neues Fenster "Geben Sie einen neuen Integer-Wert ein".

Fenster - SSL Integer

Hier ändert man den Wert von Null auf Zwei, schliesst das Fenster mit einem Klick auf "Ok" und auch die Seite mit der about:config kann geschlossen werden.

Welche Auswirkung die Änderungen in der about:config haben, sieht man, sobald man eine per SSL verschlüsselte Seite aufruft, wie beispielsweise die des FoeBuD:

SSL erweitert

Nun ist nicht mehr nur das Favicon der Seite farbig hinterlegt, was leicht übersehen werden konnte - stattdessen wird dort nun die gesamte Domain (www.foebud.org) angezeigt und farblich unterlegt. Diese Anpassung erleichtert es nun auch Menschen mit wenig Sehkraft oder Farbwahrnehmungsprobleme, eine gesicherte Verbindung zu erkennen.

Da somit ganz offensichtlich viel Aufwand betrieben wird, wenn es um sichere Verbindungen mit SSL-Verschlüsselung geht, stellt sich dem durchschnittlichen Nutzer vermutlich die folgende Frage:

Warum sollte https verwendet werden?

Eine Sicherung der Verbindung hat mehrere Vorteile. Der wesentliche Vorteil besteht darin, dass die Übertragung von Daten im Internet beim Aufruf der entsprechenden Webseite verschlüsselt stattfindet. Diese Vorgehensweise ist bei allen Webseiten die ein Login erfordern sinnvoll, da so das Risiko, dass die Zugangsdaten von Unbefugten abgegriffen werden könnten, verringert wird. Dazu gehören nicht nur Online-Banking oder Internetversandhäuser, sondern auch Webmail-Anbieter wie GMX verwenden für ihre Webmail https.

Jedoch profitieren nicht nur Online-Kunden von der Verwendung einer verschlüsselten Verbindung. Internetnutzer die Wert auf ihre die Wert auf Privatsphäre legen, wissen die Vorteile dieses Protokolls ebenfalls zu schätzen. Aus diesem Grund finden sich auch zahlreiche Webseiten die https unterstützen, obwohl sie über keine Kundendaten oder Bestellformulare verfügen, die schützenswert wären.  So ist es nicht nur, dass durch die Verschlüsselung in gewissem Maße die Sicherheit der Verbindung gegenüber „Abhörversuchen“ und der Überwachung von dritter Stelle erhöht werden kann. Darüber hinaus kann sich der Benutzer relativ sicher sein, dass die Webseite auf der er sich befindet auch die Seite ist, die sie zu sein vorgibt, da sie sich korrekt authentifizieren muss.  Damit wird ein wichtiger Punkt angesprochen.

Es sei an dieser Stelle auch darauf hingewiesen dass mit der SSL-Technologie nicht nur Verbindungen zu Webseiten gesichert werden können, sondern SSL beispielsweise auch bei der Übertragung von Passwörtern in Instant Messengern verwendet werden kann, wenn die Software und der Dienst dies ermöglichen. In diesem Artikel wird sich jedoch ausschliesslich auf die Sicherung von Verbindungen zu Webseiten bezogen.

Wie sichert https die Verbindung?

Um überhaupt sicher gehen zu können, dass die verschlüsselte Verbindung tatsächlich zur richtigen Webseite besteht, muss sich die Webseite anhand eines digitalen Zertifikats identifizieren. Selbstverständlich stammen viele dieser Zertifikate nicht von der Webseite selbst (man kann ja schließlich viel behaupten wenn der Tag lang ist) sondern von einer anderen, möglichst vertrauenswürdigen Organisation.

Neben öffentlichen Stellen, wie etwa Behörden hat sich eine Reihe von Firmen etabliert, die Zertifizierungen gegen eine jährliche Gebühr ausstellen. Die bekanntesten Anbieter dieser Art sind VeriSign, GlobalSign und Thawte (das von VeriSign übernommen wurde). Diese Zertifizierungsstellen werden "Certificate Authorities" (CAs) genannt.

Standardmäßig sind die meisten offiziellen Stellen dieser Art bereits im Firefox enthalten, so dass dieser sie problemlos erkennt und die gesicherte Verbindung per https:// ohne Probleme aufbaut. Dabei handelt es sich vor allem um Webseiten von Dienstleistern, die sich die entsprechenden Gebühren leisten können. Daher gehört für Online-Banking oder Webmail https mittlerweile zum Standard.

Daneben gibt es allerdings auch Anbieter, die kostenlos zertifizieren – etwa CAcert (so hat beispielsweise die Seite des Chaos Computer Clubs ein solches Zertifikat).

Diese Zertifikate sollen eine Alternative darstellen für Webseitenbetreiber die ihren Besuchern zwar Sicherheit bieten wollen, jedoch die (oft recht teuren) Beiträge der Marktführer nicht zahlen können. Da CAcert (und andere kostenlose Certificate Authorities) keine feststehenden Verträge mit den Herstellern der Browser haben, sind ihre Zertifikate standardmäßig auch nicht enthalten, daher präsentierte Firefox bis zur Version 3.0 auch ein Hinweis-Fenster mit der Möglichkeit, dieses Zertifikat dauerhaft, oder zumindest temporär zu erlauben.

Mit dem Erscheinen des Firefox 3.0 änderte sich das deutlich: Nun nahm der Hinweis auf ein unbekanntes Zertifikat den Charakter einer Warnung ("Sichere Verbindung fehlgeschlagen")

SSL-Zertifikat unbekannt

 Gerade PC-Neulinge würden vermutlich an dieser Stelle erschreckt das Browserfenster schließen. Der Hinweis "oder Sie können eine Ausnahme hinzufügen" wird von ihnen vermutlich gar nicht mehr wahr genommen werden. Das führt dazu, dass eine Anzahl von Seiten vermutlich weniger aufgerufen wird, da sie unsicher wirken - ironischerweise gerade deshalb weil sie über ein Sicherheitszertifikat verfügen.

In Firefox 4.0 behielt man das Design bei, verschärfte jedoch noch den Tonfall. Statt "Sichere Verbindung fehlgeschlagen" heisst es nun an dieser Stelle klipp und klar "Dieser Verbindung wird nicht vertraut". Im Gegensatz zur Vorgängerversion erhält man hier jedoch eine verständlichere Erklärung für die Warnung.

Hinweis auf Fehler beim SSL-Zertifikat

Hat man sich dagegen nicht verschrecken lassen, kann durch einen Klick auf "oder sie können eine Ausnahme hinzufügen", die gewünschte Webseite als Ausnahme hinzugefügt werden:

Zertifikat Ausnahme festlegen

Nach einem Klick auf "Zertifikat herunterladen", lässt sich das verdächtige Zertifikat durch einen Klick auf "Ansehen" in Augenschein nehmen:


Zertifikat-Ansicht

Hier wird unter "Ausgestellt von" die Certificate Authority genannt, die das Zertifikat ausgestellt hat. Ist man zu der Überzeugung gelangt, dass man der CA vertraut und das vorliegende Zertifikat seine Richtigkeit hat, kann man eine Ausnahme für diese Seite festlegen - entweder dauerhaft indem man das Häkchen vor "Diese Ausnahme dauerhaft speichern" setzt, oder aber nur temporär, indem man dieses Häkchen weg lässt.

In diesem Fall handelt es sich um die Webseite des Chaos Computer Clubs und das Zertifikat stammt von CAcert, das aus oben genannten Gründen nicht erkannt wurde - es lässt sich jedoch "Nachrüsten".


Nachträgliches Hinzufügen des CAcert-Root Zertifikats für Mozilla Firefox

 

  • Man ruft direkt die CAcert Root Seite auf und klickt auf "Root Certificate (PEM-Format)"
  • Daraufhin öffnet sich ein Fenster, indem man gefragt wird, für welche Zwecke man diesem Zertifikat vertrauen will. Hier setzt man beim ersten Punkt "Dieser CA vertrauen, um Websites zu identifizieren" ein Häkchen.

 

Fenster - Zertifikat herunterladen

 

  • Mit einem Klick auf "Ok" ist die Installation des Zertifikats abgeschlossen, ab sofort erhält man beim aufrufen von CAcert zertifizierten Seiten keinen Warnhinweis mehr.


Daneben finden sich auf vielen Seiten auch gänzlich unbekannter Zertifizierungsstellen - Letztlich bleibt es aber somit eine reine Vertrauensfrage, welche Zertifikaten bzw. Zertifikatsanbieter man als sicher betrachtet.


Schwächen und Risiken von HTTPS

Die größte Schwäche besteht in der zentralistischen Struktur der Zertifikate-Verwaltung. Sowohl der Inhaber der Webseite, als auch der Besucher sind auf die Vertrauenswürdigkeit der Certificate Authorities angewiesen - also jener Stellen, die die entsprechenden Zertifikate ausstellen).

Bereits im Dezember 2008 wurde auf dem 25. Chaos Communication Congress (25c3) eine erste kritische Schwachstelle in einer Verschlüsselungs-Funktion bekannt, die auch auf die Sicherheit von HTTPS Einfluss hat (SSL). Aufgrund dieser Schwachstelle war es möglich, einer Webseite ein vertrauenswürdiges Zertifikat auszustellen, obwohl sie nicht dazu berechtigt war. Diese Sicherheitslücke könnte etwa dazu verwendet werden um Phishing-Seiten Zertifikate auszustellen, so dass diese glaubwürdig vermitteln können, dass die Verbindung gesichert sei.

Für große Unruhe sorgte ein Bericht der Bürgerrechtsorganisation Electronic Frontier Foundation im März 2010, durch dessen Inhalt die Sicherheit von SSL-gesicherten Verbindungen vollständig in Frage gestellt werden muss. Angeblich wurden verschiedene große Zertifizierungsstellen von US-Behörden zur Herausgabe geheimer Schlüssel überredet und zur Kooperation gezwungen. Als Folge davon könnten SSL-gesicherte Verbindungen bereits seit unbekannter Zeit routinemäßig von US-Stellen abgehört werden.

Wie nutzt man HTTPS effektiv?

Will man die Verbindung zu Webseiten per SSL-sichern, dann lässt sich diese Frage in einem einzigen, einfachen Satz beantworten:

Den größtmöglichen Vorteil von HTTPS erreicht man dadurch, dass es bei jeder sich bietenden Gelegenheit verwendet wird – indem man versucht, jede Webseite mit https:// statt http:// aufzurufen.

Nach aktuellem Kenntnisstand (August 2010) bietet keiner der üblichen Browser eine „Https-Funktion“ an, durch die Webseiten zunächst auf ihre SSL-Kompatibilität geprüft werden, bevor dann alternativ die Standardadresse per http angezeigt wird.

Allerdings hat die Electronic Frontier Foundation nun ein Firefox-AddOn mit dem Namen "HTTPS Everywhere" herausgeben, mit dem sich auf verschiedenen populären Webseiten (wie der Wikipedia oder Twitter) die Verbindung über eine verschlüsselte Verbindung erzwingen lässt und das kontinuierlich erweitert wird. Sollte ein solches Verfahren für alle Webseiten eingeführt werden, so hätte dies jedoch einen Nachteil: Nicht immer werden bei unterschiedlicher URL auch die gleiche Seite angezeigt. So könnte zB ein normaler Link mit http:// auf die Startseite eines Portals führen, die gesicherte Verbindung per https:// jedoch direkt in das Forum. Es bleibt also vorerst dem Datenschutz liebenden Internetnutzer überlassen, https Verbindungen manuell auszuprobieren..



Lizenzbedingungen:
Logo der CC Lizenz
Dieses Werk von zazengate steht
unter einerCreative Commons Lizenz.