Der sichere Weg ins Internet sollte nach Möglichkeit auch über eine sichere Verbindung führen, dieser Gedankengang scheint logisch - doch was bedeutet das für den Normalverbraucher der einfach nur „surfen“ will?

Unter Umständen ist es dem Einen oder Anderen schon einmal aufgefallen, dass bestimmte Webseiten sich beim Aufrufen etwas anders verhalten als die Übrigen.

Der aufmerksame Internetnutzer bemerkt nämlich ein Detail, das leicht übersehen werden kann - die URL der entsprechenden Webseite - in diesem Beispiel des DatenschFoeBuD - hat sich geändert und so beginnt die Adresse nun mit https:// (https://www.foebud.org/) anstelle des sonst üblichen http:// (http://www.foebud.org):

Diese Änderung der Adresse bedeutet, das die Verbindung zu dieser Seite nun verschlüsselt abläuft. Bei der Verwendung des sonst üblichen http:// (das steht für Hypertext Transfer Protocol ) werden die Daten während der Verbindung unverschlüsselt übertragen. Kann die Webseite per https:/ (Hypertext Transfer Protocol Secure) abgerufen werden, findet eine Verschlüsselung per SSL-Verfahren statt.

Bei Mozilla Firefox bis zur Version 2 gab es über die reine Änderung der URL hinaus noch weitere Hinweise, die den Benutzer auf die Verwendung einer gesicherten Verbindung hinwiesen. Zum einen nahm der Hintergrund der Internetadresse (URL) dabei einen gelblichen Farbton an und ein Schloss-Symbol erschien sowohl am rechten Ende des Eingabefeldes, als auch in der rechten unteren Ecke des Browsers.

Mit der Version 3.0 des Firefox änderte sich das Konzept völlig. Ab sofort finden sich weder Farbänderung noch das Symbol neben dem Eingabefeld - neben der Adressänderung gibt es nun ein neues Symbol als Hauptkriterium einer sicheren Verbindung.

Der Site Identification Button

Beim neuen Sicherheitskonzept des Firefox 3.0 spielt der Site Identification Button eine wichtige Rolle. Dabei handelt es sich zunächst einmal lediglich um ein farbiges Feld links neben der URL:

Ist das Icon grau bedeutet, dass sich die betreffende Seite nicht genau identifiziert hat und keine Verschlüsselung stattfindet. Dies wird bei den meisten Webseiten der Fall sein.

Ein blaues Icon zeigt an, dass sich die Webseite korrekt identifiziert hat und die Verbindung verschlüsselt wird. Allerdings bietet das Sicherheitszertifikat der Seite keine Informationen über den Betreiber.

Ist das Icon grün, wird ein besonderes Sicherheitszertifikat verwendet, dass sowohl die ausreichende Verschlüsselung, als auch die Identität des Betreibers bestätigt. Diesen Button wird man vermutlich am seltensten sehen - etwa beim Online-Banking (aber auch die englischsprachige Mozilla-Webseite, die Webseite von Campact und der Maildienst GMX sind auf diese Weise gesichert).

Will der Benutzer weitergehende Informationen erhalten, so genügt ein Klick auf um mehr zu erfahren. So wird etwa angezeigt, ob Cookies gesetzt, oder Passwörter gespeichert wurden. Selbstverständlich kann man dort auch das Zertifikat der Seite ansehen.

Der Vorteil dieser neuen Einteilung besteht darin, dass der Surfer in einfacher und verständlicher Weise nachvollziehen kann, wie Vertrauenswürdig die Seite samt ihrer Verbindung wirklich ist - das frühere Schloss-Symbol allein bot diese bequeme Möglichkeit nicht. Allerdings gibt es auch zwei Nachteile: Zum einen werden Menschen mit einer Farbsehschwäche benachteiligt - zum anderen blenden viele Webseiten genau an dieser Stelle ihr eigenes kleines farbiges Logo (Favicon) ein. Ob dieses Konzept die beste Lösung war, darüber lässt sich trefflich streiten.

Aus diesem Grund ist es von Vorteil, wenn man weiss, wie die Anzeige einer SSL-Verbindung bei Firefox 3 verbessert werden kann, so dass sie deutlicher zu erkennen ist. Zu diesem Zweck ist erforderlich, Einstellungen in der about:config zu ändern (Funktion und Umgang mit der about:config werden schnellstmöglich nachgeliefert, es war mir zunächst wichtig, diesen Hinweis überhaupt zu geben)

Man ruft den Firefox 3 auf und tippt in die Adresszeile about:config ein.



Die daraufhin erscheinende Warnung kann mit einem Klick auf "ich werde vorsichtig sein, versprochen" ebenso ignoriert werden, wie die lange Liste von Einträgen mit denen sich die about:config präsentiert. Stattdessen gibt man in der Leiste "Filter" folgendes ein: browser.ide

Daraufhin wird nur noch ein Eintrag angezeigt: browser.identity.ssl_domain_location

(Abbildung folgt)

Hier ist der Wert von Interesse. Standardmäßig ist er auf null gesetzt. Mit einem Doppelklick auf die Null öffnet sich ein neues Fenster "Geben Sie einen neuen Integer-Wert ein".



Hier ändert man den Wert von Null auf Zwei, schliesst das Fenster mit einem Klick auf "Ok" und auch die Seite mit der about:config kann geschlossen werden.

Welche Auswirkung die Änderungen in der about:config haben, sieht man, sobald man eine per SSL verschlüsselte Seite aufruft, wie beispielsweise die des FoeBuD:



Nun ist nicht mehr nur das Favicon der Seite farbig hinterlegt, was leicht übersehen werden konnte - stattdessen wird dort nun die gesamte Domain (www.foebud.org) angezeigt und farblich unterlegt. Diese Anpassung erleichtert es nun auch Menschen mit wenig Sehkraft oder Farbwahrnehmungsprobleme, eine gesicherte Verbindung zu erkennen.

Da somit ganz offensichtlich viel Aufwand betrieben wird, wenn es um sichere Verbindungen mit SSL-Verschlüsselung geht, stellt sich dem durchschnittlichen Nutzer vermutlich die folgende Frage:

Warum sollte https verwendet werden?

Eine Sicherung der Verbindung hat mehrere Vorteile. Der wesentliche Vorteil besteht darin, dass die Übertragung von Daten im Internet beim Aufruf der entsprechenden Webseite verschlüsselt stattfindet. Diese Vorgehensweise ist bei allen Webseiten die ein Login erfordern sinnvoll, da so das Risiko, dass die Zugangsdaten von Unbefugten abgegriffen werden könnten, verringert wird. Dazu gehören nicht nur Online-Banking oder Internetversandhäuser, sondern auch Webmail-Anbieter wie GMX verwenden für ihre Webmail https.

Jedoch profitieren nicht nur Online-Kunden von der Verwendung einer verschlüsselten Verbindung. Internetnutzer die Wert auf ihre die Wert auf Privatsphäre legen, wissen die Vorteile dieses Protokolls ebenfalls zu schätzen. Aus diesem Grund finden sich auch zahlreiche Webseiten die https unterstützen, obwohl sie über keine Kundendaten oder Bestellformulare verfügen, die schützenswert wären.  So ist es nicht nur, dass durch die Verschlüsselung in gewissem Maße die Sicherheit der Verbindung gegenüber „Abhörversuchen“ und der Überwachung von dritter Stelle erhöht werden kann. Darüber hinaus kann sich der Benutzer relativ sicher sein, dass die Webseite auf der er sich befindet auch die Seite ist, die sie zu sein vorgibt, da sie sich korrekt authentifizieren muss.  Damit wird ein wichtiger Punkt angesprochen.

Wie sichert https die Verbindung?

Um überhaupt sicher gehen zu können, dass die verschlüsselte Verbindung tatsächlich zur richtigen Webseite besteht, muss sich die Webseite anhand eines digitalen Zertifikats identifizieren. Selbstverständlich stammen viele dieser Zertifikate nicht von der Webseite selbst (man kann ja schließlich viel behaupten wenn der Tag lang ist) sondern von einer anderen, möglichst vertrauenswürdigen Organisation.

Neben öffentlichen Stellen, wie etwa Behörden hat sich eine Reihe von Firmen etabliert, die Zertifizierungen gegen eine jährliche Gebühr ausstellen. Die bekanntesten Anbieter dieser Art sind VeriSign, GlobalSign und Thawte (das von VeriSign übernommen wurde).

Standardmäßig sind die meisten offiziellen Stellen dieser Art bereits im Firefox enthalten, so dass dieser sie problemlos erkennt und die gesicherte Verbindung per https:// ohne Probleme aufbaut. Dabei handelt es sich vor allem um Webseiten von Dienstleistern, die sich die entsprechenden Gebühren leisten können. Daher gehört für Online-Banking oder Webmail https mittlerweile zum Standard.

Daneben gibt es allerdings auch Anbieter, die kostenlos zertifizieren – etwa CAcert (so hat beispielsweise die Seite des Chaos Computer Clubs ein solches Zertifikat).

Diese Zertifikate sollen eine Alternative darstellen für Webseitenbetreiber die ihren Besuchern zwar Sicherheit bieten wollen, jedoch die (oft recht teuren) Beiträge der Marktführer nicht zahlen können. Da CAcert (und andere Anbieter) keine feststehenden Verträge mit den Herstellern der Browser haben, sind ihre Zertifikate standardmäßig auch nicht enthalten, daher präsentierte Firefox bis zur Version 3.0 auch ein Hinweis-Fenster mit der Möglichkeit, dieses Zertifikat dauerhaft, oder zumindest temporär zu erlauben.

Mit dem Erscheinen des Firefox 3.0 änderte sich das deutlich:

Der Hinweis auf ein fehlerhaftes oder unbekanntes Zertifikat, hat nun den Charakter einer Warnung "Sichere Verbindung fehlgeschlagen". Gerade PC-Neulinge würden vermutlich an dieser Stelle erschreckt das Browserfenster schließen. Der Hinweis "oder Sie können eine Ausnahme hinzufügen" wird von ihnen vermutlich gar nicht mehr wahr genommen werden. Das führt dazu, dass eine Anzahl von Seiten vermutlich weniger aufgerufen wird, da sie unsicher wirken - ironischerweise gerade deshalb weil sie über ein Sicherheitszertifikat verfügen.

Hat man sich dagegen nicht verschrecken lassen, kann durch einen Klick auf "oder sie können eine Ausnahme hinzufügen", die gewünschte Webseite als Ausnahme hinzugefügt werden:

Nach einem Klick auf "Zertifikat herunterladen", lässt sich das verdächtige Zertifikat durch einen Klick auf "Ansehen" in Augenschein nehmen:

Ist man zu der Überzeugung gelangt, dass das vorliegende Zertifikat seine Richtigkeit hat, kann man eine Ausnahme für diese Seite festlegen - entweder dauerhaft indem man das Häkchen vor "Diese Ausnahme dauerhaft speichern" setzt, oder aber nur temporär, indem man dieses Häkchen weg lässt.

In diesem Fall handelt es sich um die Webseite des Chaos Computer Clubs und das Zertifikat stammt von CAcert, das aus oben genannten Gründen nicht erkannt wurde - es lässt sich jedoch "Nachrüsten".

• Man ruft direkt die CAcert Root Seite auf und klickt auf "Root Certificate (PEM-Format)"

• Daraufhin öffnet sich ein Fenster, indem man gefragt wird, für welche Zwecke man diesem Zertifikat vertrauen will. Hier setzt man beim ersten Punkt "Dieser CA vertrauen, um Websites zu identifizieren" ein Häkchen.

• Mit einem Klick auf "Ok" ist die Installation des Zertifikats abgeschlossen, ab sofort erhält man beim aufrufen von CAcert zertifizierten Seiten keinen Warnhinweis mehr.

Daneben finden sich auf vielen Seiten auch gänzlich unbekannter Zertifizierungsstellen - Letztlich bleibt es aber somit eine reine Vertrauensfrage, welche Zertifikaten bzw. Zertifikatsanbieter man als sicher betrachtet.

Schwächen von HTTPS

Im Dezember 2008 wurde auf dem 25. Chaos Communication Congress (25c3) eine kritische Schwachstelle in einer Verschlüsselungs-Funktion bekannt, die auch auf die Sicherheit von HTTPS Einfluss hat (SSL). Aufgrund dieser Schwachstelle war es möglich, einer Webseite ein vertrauenswürdiges Zertifikat auszustellen, obwohl sie nicht dazu berechtigt war. Diese Sicherheitslücke könnte etwa dazu verwendet werden um Phishing-Seiten Zertifikate auszustellen, so dass diese glaubwürdig vermitteln können, dass die Verbindung gesichert sei.

Dennoch bleibt bis auf weiteres die Empfehlung nach Möglichkeit gesicherte Verbindungen zu nutzen, bestehen.

Diese Frage lässt sich in einem einzigen, einfachen Satz beantworten:

Nach aktuellem Kenntnisstand (April 2009) bietet keiner der üblichen Browser eine „Https-Funktion“ an, durch die Webseiten zunächst auf ihre SSL-Kompatibilität geprüft werden, bevor dann alternativ die Standardadresse per http angezeigt wird.

Das wäre, etwa in Form einer Firefox-Erweiterung a la „HTTPS-Checker“ sicher sehr bequem, hätte jedoch auch einen Nachteil: Nicht immer werden bei unterschiedlicher URL auch die gleiche Seite angezeigt. So könnte zB ein normaler Link mit http:// auf die Startseite eines Portals führen, die gesicherte Verbindung per https:// jedoch direkt in das Forum. Es bleibt also vorerst dem Datenschutz liebenden Internetnutzer überlassen, https Verbindungen manuell auszuprobieren..