https

So kommt das S in HTTPS

Ohne Verschlüsselung könnten Sie nur unter extremem Risiko über das Internet Onlineshopping, Onlinebanking und sogar Downloads und Updates durchführen. Wussten Sie, dass Sie bereits eine Verschlüsselung in Ihrem Browser nutzen, ohne es zu bemerken? Das kleine Schlosssymbol in der Adressleiste weist darauf hin, dass die Verschlüsselung zurzeit aktiviert ist. Viele Webseiten (insbesondere Shops und Banken) unterstützen sie. Die Verschlüsselung stellt für Sie keine Nachteile dar, sondern bietet Ihnen viele Vorteile.

Durch die verschlüsselte Kommunikation zwischen Ihrem Browser und dem Server gewinnen Sie drei wichtige Vorteile:

Authentifizierung

Der Server (zum Beispiel die Webseite der Bank) zeigt Ihrem Browser sozusagen seinen Ausweis, den dieser dann verifiziert. Sie werden den Prozess nur bemerken, wenn die Verifizierung fehlschlägt. Das passiert häufig, wenn der Besitzer der Webseite vergisst, das Zertifikat zu erneuern (es muss alle paar Wochen oder Jahre erneuert werden). Mit hoher Wahrscheinlichkeit haben Sie schon mal eine dieser Mitteilungen durch den Browser gesehen, der ein Zertifikat als ungültig ablehnt. Kurze Zeit später sollte der Besitzer der Webseite ein neues Zertifikat haben, um das Problem zu beheben. Ohne die Zertifizierung Ihres Transaktionspartners gibt es keine Möglichkeit für sicheres Onlinebanking oder -shopping.

Geheimhaltung

Geheimhaltung sorgt dafür, dass andere nicht die Datenpakete lesen können, die zwischen Ihrem Browser und dem Server hin und her gesendet werden. Dazu gehören Bankzugangsdaten wie Kreditkartendaten, Ihre Passwörter und Benutzernamen …

Zweifelsohne möchten Sie nicht, dass jemand diese Daten liest. Ohne Geheimhaltung ist es unmöglich, sicher online einzukaufen.

Integrität

Es gibt Tools, um Netzwerkpakete spontan zu modifizieren. Dabei handelt es sich um Powertools für Administratoren oder wissenschaftliche Tools, die echte Anwendungsgebiete haben. Aber mit den gleichen Tools kann ein Angreifer, der mit demselben Netzwerk verbunden ist wie Sie, Ihre gesendeten Daten ändern. Das ist sehr einfach, wenn Sie sich im selben Netzwerksegment befinden (mit demselben Switch oder WLAN-Zugangspunkt verbunden sind), und auch möglich, wenn die Datenverkehrsinformationen im gesamten Netzwerk manipuliert werden (DNS Changer- oder BGP-Angriffe).

Ohne Integrität ist es unmöglich, sicher online einzukaufen.

https: Ein Allheilmittel?

Verschlüsselung (wie die httpS-Verschlüsselung) bietet all diese Vorteile. Die Abschaffung der Verschlüsselung würde das Internet als vertrauenswürdige Umgebung und Marktplatz zerstören.

Um mit dem Server verschlüsselt zu kommunizieren, muss der Server dies unterstützen. Dazu muss ein Zertifikat vorhanden sein, eine Konfigurationsdatei geändert und die gesamte Seite getestet werden. Dieser Aufwand dauert zwischen einigen Minuten und Wochen, je nach Komplexität der Seite. Der Administrator und die Webdesigner des Servers sollten diesen Prozess handhaben. Shops und Banken hätten schon vor einigen Jahren den besagten Wechsel vornehmen sollen.

Aber um einen verschlüsselten Kanal zu etablieren, muss eine Übereinkunft zwischen dem Server und Browser bestehen. Das kann auf drei Arten geschehen:

  • Der Serveradministrator richtet eine 302-Umleitung ein und schiebt alle unverschlüsselten Datenverkehrsinformationen in den verschlüsselten Kanal
  • Oder der Webdesigner tauscht alle Links auf der Seite aus, um von Links wie http://irgendwas.de auf https://irgendwas.de zu verweisen
  • Oder der Nutzer gibt https:// in die URL-Leiste ein, um eine Verschlüsselung anzufordern

In all diesen Fällen sind Menschen beteiligt. Menschen machen Fehler. EFFs HTTPS-Everywhere (integriert in unseren Browser) hat eine Datenbank von Servern, die Verschlüsselung unterstützen. Für jede Seite in ihrer Datenbank ersetzt sie http:// durch https:// — nur ein Zeichen wird verändert, aber man profitiert sofort beträchtlich.

Dies gilt insbesondere für Netzwerke, denen Sie vertrauen können (Sie erinnern sich: einfache Angriffe im selben Netzwerksegment) und daher ist es unabdingbar für Ihre Sicherheit. Nicht vertrauenswürdige Netzwerke sind zum Beispiel: offene WLAN-Netze, öffentliche WLAN-Netze, Hotelnetzwerke … warten Sie, warum eigentlich nicht alle Netzwerke?

Wir sind noch nicht angekommen

Es ist zwar traurig, aber leider ist HTTPS Everywhere (noch) nicht perfekt. Es gibt ausgeklügeltere Angriffe (SSLStrip, Superfish), die immer noch Erfolg haben können, aber das größte Problem ist:

Nicht all diese Server unterstützen HTTPS

Die EFF schreibt zurzeit an einem Tool zur Vereinfachung der Servereinrichtung (genannt „Let’s encrypt“). Aber selbst damit werden nicht alle Server migrieren.

Wir untersuchen zurzeit eine weitere Technologie, die extrem gut mit HTTPS-Everywhere verbunden werden kann. So können Ihre Daten über Ihre WLAN-Verbindung verschlüsselt werden — egal was kommt.

TL;DR:
Verschlüsselte Netzwerke sollten Standard sein. Wir(*) arbeiten daran.

*) Die Techniker, die das Internet bauen

Dieser Artikel ist auch verfügbar in: EnglischFranzösischItalienisch

I use science to protect people. My name is Thorsten Sick and I do research projects at Avira. My last project was the ITES project where I experimented with Sandboxes, Sensors and Virtual Machines. Currently I am one of the developers of the new Avira Browser