Sichere Webseiten | Tipps zum Erkennen der Verschlüsselung

Google als größte Suchmaschine der Welt setzt sich schon seit Jahren für sichere Webseiten ein. Jedoch bedeutet das kleine s in der URL nicht immer, dass eine Seite auch zuverlässig verschlüsselt ist. Was ist eine Verschlüsselung und wo zeigen die Browser Details zum Grad der Sicherheit an?

Sichere Webseiten

Sichere Webseiten – SSL-Zertifikate

Um aus einer normalen eine sichere Webseite zu machen, muss der Webseiten-Betreiber / -Inhaber ein SSL-Zertifikat erwerben (SSL=Secure Sockets Layer bzw. TLS=Transport Layer Security; dt. Transportschichtsicherheit).

Zahlreiche Unternehmen bieten solche Transport Zertifikate zu unterschiedlichen Preisen an, u.a. GeoTrust und Symantec. Wobei Symantec 2017 Schlagzeilen machte, da Google die veraltete PKI-Infrastruktur des Unternehmens bemängelte. Nach Googles Drohung, diese Zertifikate in Zukunft als nicht vertrauenswürdig einzustufen, hat Symantec den Bereich der Zertifikatsausgabe an DigiCert verkauft.
Ab März 2018 wird der Chrome Browser vor Webseiten mit den alten Symantec-Zertifikaten warnen und nur noch die neuen, von DigiCert ausgestellten als sicher akzeptieren.

Vertrauenswürdige und bisher kostenlose Zertifikate erstellt Let’s Encrypt. Jedoch bieten nicht alle Hosting-Unternehmen dieses Zertifikat an.

Verschlüsselung

Sicherere Webseiten erkennst du zunächst an der URL. Zum normalen http://… (Hypertext Transfer Protocol = Hypertext Übertragungsprotokoll) gesellt sich ein s. Die URL beginnt also mit https://… (HTTP Secure = sicher). Rufst du eine solche Seite auf, passiert technisch folgendes:

Hello vom Client: Dein Browser verbindet sich mit dem Server über ein Protokoll mit Verschlüsselungsoptionen.
Server Hello: Der Server akzeptiert die Anfrage und sendet sein Zertifikat / seinen öffentlichen Schlüssel zurück.
Browser überprüft das Zertifikat: Ungültig = Abbruch der Verbindung; Gültig = Erzeugen eines symmetrischen Sitzungsschlüssels.
Erster Handshake: Der Browser verschlüsselt den Sitzungsschlüssel mit dem öffentlichen Schlüssel des Servers und schickt ihn zurück.
Zweiter Handshake: Mit seinem privaten Schlüssel entschlüsselt der Server diesen und bestätigt den geheimen Sitzungsschlüssel.
Anschließend werden alle Anfragen- und Antworten dieser Sitzung verschlüsselt übertragen.

Informationen zur Verschlüsselung

Rufst du eine Webseite auf, erscheint in der Suchleiste links neben der URL abhängig vom Browser ein Schloss, kein Schloss, das Internet-Symbol oder nur ein i-Zeichen. Abgesehen vom grünen Schloss für sichere Webseiten, dass aber bei Safari grau ist, unterscheiden sich die Browser in ihrer Auskunftsfreudigkeit mehr oder weniger stark voneinander. Um mehr Informationen zu erhalten gehst du so vor:

Safari

Bei unsicheren Seiten fehlt einfach das Schloss (Abb. 1). Deshalb kannst du auch keine genaueren Angaben abrufen. Ist es vorhanden …

› Schloss anklicken
›› = Erklärung zur Sicherheit
››› Zertifikat einblenden
›››› = Art, Ausstellungsdatum und Gültigkeit des Zertifikats
››››› Vertrauen und Details anklicken
›››››› = ausführliche Angaben zur Webseite

Opera

Sichere Webseiten sind am grünen Schloss zu erkennen, unsichere am grauen Internet-Symbol.

› Symbol anklicken
›› = Hinweis zur (Un-) Sicherheit der Verbindung
››› Details einblenden
›››› = Informationen zur Art des Zertifikats, zur Verbindung und ggfs. zu Fehlern

Keine weiteren Angaben zur Webseite (Abb. 2).

Chrome

Auch hier weist ein grünes Schloss plus Sicher auf eine verschlüsselte Webseite hin. Bei allen anderen Seiten steht ein graues Info-Symbol vor der URL.

› Symbol anklicken
›› = Angabe bzgl. der (Un-) Sicherheit der Verbindung und
››› Erläuterung zum Umgang mit vertraulichen Informationen
›››› Weitere Informationen anklicken öffnet
››››› eine neue Seite mit einer allgemeinen Erklärung der Symbole und Angaben

Du erfährst nichts über das Zertifikat, die Verschlüsselungsmethode oder andere Details der Webseite.

Firefox

Ähnlich wie bei Chrome steht vor sicheren Webseiten ein grünes Schloss, vor unsicheren ein graues i-Symbol.

› Symbol anklicken
›› = Hinweis auf die (Un-) Sicherheit der Verbindung und
››› Angaben zum Umgang mit vertraulichen Daten sowie ggfs. Hinweis darauf, dass Firefox bestimmte Inhalte blockiert hat
›››› Pfeil› anklicken
››››› = Informationen zur Webseiten-Identität, zur Art des Zertifikats, dessen Gültigkeit, zum Datenschutz und zu technischen Details

HTTP = unsicher / HTTPS = sicher

Auch das Internet ist nicht nur Schwarz oder Weiß. Verglichen mit einer Herde findest du dort nicht nur schwarze und weiße Schafe, sondern auch dunkel- und hellgraue. Darüber hinaus gibt es leider auch betrügerische sichere Webseiten, die in der URL (zunächst) eine Verschlüsselung anzeigen, anschließend aber unbemerkt auf unsichere umleiten bzw. trotzdem Daten abgreifen. Deshalb solltest du dir trotz https vor dem Anklicken überlegen, ob du der Seite vertraust (Abb. 3).

Schwarze Schafe

Opera und Firefox weisen auf die Unsicherheit hin, indem sie mitteilen, dass

… Sie keine vertraulichen Informationen wie Passwörter oder Kreditkartennummern eingeben sollten, da sie von Angreifern gestohlen werden könnten. (Opera)
… die Verbindung zu dieser Webseite nicht vertraulich ist. Von Ihnen übermittelte Informationen (wie Passwörter, Nachrichten, Kreditkartendaten, usw.) könnten von Anderen eingesehen werden. (Firefox)

Google reagiert massiver mittels einer bildschirmfüllenden Warnung:

Dies ist keine sichere Verbindung. Hacker könnten versuchen, Ihre Daten von http://… zu stehlen, zum Beispiel Passwörter, Nachrichten oder Kreditkartendaten.
NET::ERR_CERT_AUTHORITY_INVALID

Der Safari-Browser lädt solche Seiten u. U. gar nicht erst (Abb. 4).

Dunkelgraue Schafe

Auch hier erhältst du je nach Browser unterschiedliche Informationen. Dies kann ein fehlendes Schloss (Safari), ein allgemeiner Hinweis auf die unsichere Webseite (Opera, Google) oder eine zusätzliche Mitteilung wie bei Firefox sein (Abb. 5).

Firefox hat nicht sichere Inhalte dieser Seite blockiert.

Hellgraue Schafe

Hierbei handelt es sich um Seiten, die teilweise verschlüsselt sind. Das bedeutet, dass die eigentlich verschlüsselte Seite unsichere Inhalte enthält. Das sind häufig Abbildungen oder Grafiken.

Opera weist auf die ungeschützt Verbindung hin, informiert aber unter Details auch über das Zertifikat, die Art der Verbindung und dass die Seite unsichere Inhalte enthält (Abb. 6).
Im Chrome-Browser teilt Google mit, dass

die Verbindung zu dieser Seite nicht uneingeschränkt sicher ist. Angreifer können unter Umständen Bilder sehen, die Sie sich auf dieser Webseite ansehen, und könnten dann versuchen, Sie durch Ändern der Bilder zu täuschen.

Vor der URL siehst du bei Firefox ein gelbes Warndreieck auf einem grauen Schloss. Nach dem Anklicken dieses Symbols liest du die Hinweise

… Verbindung ist nicht sicher. Teile dieser Seite sind nicht sicher. Dies können z. B. Grafiken sein.
… mit dieser Webseite geteilte Informationen können von anderen eingesehen werden. Obwohl Firefox Inhalte blockiert hat, enthält diese Seite noch nicht sichere Inhalte (wie z. B. Grafiken).
Und unter technische Details: Verbindung teilweise verschlüsselt. Teile der Seite, die Sie ansehen, wurden nicht verschlüsselt, bevor sie über das Internet übertragen wurden.

Weiße Schafe

Diese Webseiten sind komplett verschlüsselt. Je nach Browser (s. Informationen zur Verschlüsselung) erhältst du mehr oder weniger detaillierte Angaben zu der betreffenden Webseite. Am ausführlichsten informiert dich Firefox (Abb. 7).

Fazit

Zur Sicherheit des Internets tragen maßgeblich sichere Webseiten bei. Aber selbst mit dem s hast du keine Garantie, dass du dich auch auf einer solchen befindest. So gibt es zahlreiche teilverschlüsselte Webseiten, deren URL zwar mit https:// anfängt, die aber unsichere Inhalte enthalten. Deshalb ist es sinnvoll, die Sicherheit der von dir aufgerufenen Webseiten zu hinterfragen, um besser über deine Lieblings-Webseiten informiert zu sein.

Einerseits ist es natürlich die Aufgabe der Webseiten-Betreiber bzw. -Inhaber für die Sicherheit ihres Angebots zu sorgen. Andererseits können auch die Suchmaschinen zu einem sicheren Internet beitragen, indem sie Druck ausüben. Google befindet sich auf dem richtigen Weg. Durch Androhung eines schlechteren Rankings will das Unternehmen zumindest die ambitionierten und seriösen Webseiten-Betreiber zum Umdenken bringen.

Doch auch als Nutzer kannst du Einfluss nehmen, indem du unsichere Seiten nicht mehr besuchst. Insbesondere dann nicht, wenn die unsichere Seite deine Daten abfragt (Login, Angaben zur Kreditkarte oder Bankverbindung, etc. ).

Denn was (fast) alle Webseiten-Betreiber gemeinsam haben ist: Sie leben und sterben mit dem Traffic. Sobald kaum jemand ihre Seite besucht oder diese in der Suchmaschine erst weit hinter vielen anderen auftaucht, haben sie zwei Möglichkeiten. Entweder sie besorgen sich ein gültiges Zertifikat oder sie geben ihr Geschäft auf.

Anmerkung: Die URLs in den Abbildungen wurden unkenntlich gemacht, da es nicht mein Ziel ist, einzelne Webseiten positiv oder negativ hervorzuheben. Die Darstellungen können sich also auf jede x-beliebige Seite der entsprechenden Kategorie beziehen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.