Was ist HTTPS? – Was du wissen musst

Obwohl starke Verschlüsselung in letzter Zeit im Trend liegt, verwenden Websites seit 20 Jahren routinemäßig starke Ende-zu-Ende-Verschlüsselung. Denn wenn Websites nicht sehr sicher gemacht werden könnten, wäre keine Form des Online-Handels wie Shopping oder Banking möglich. Das dafür verwendete Verschlüsselungsprotokoll ist HTTPS, was für HTTP Secure (oder HTTP over SSL / TLS) steht. Es wird von jeder Website verwendet, die die Sicherheit der Benutzer gewährleisten muss, und ist das grundlegende Rückgrat aller Sicherheit im Internet.


HTTPS wird zunehmend auch von Websites verwendet, für die Sicherheit keine große Priorität hat. Dies ist größtenteils ein Anlass zu größerer Besorgnis über allgemeine Fragen der Privatsphäre und Sicherheit im Internet im Gefolge von Edward Snowdens Enthüllungen über die Überwachung durch die Massenregierung.

Projekte wie die Let's Encrypt-Initiative des EFF, das Encryption Everywhere-Programm von Symantec und Mozilla, die sich dafür entschieden haben, nicht HTTPS-gesicherte Suchergebnisse abzuschreiben, haben jedoch die allgemeine Akzeptanz des Protokolls beschleunigt.

Was macht HTTPS??

Wenn Sie eine nicht sichere HTTP-Website besuchen, werden alle Daten unverschlüsselt übertragen, sodass jeder Beobachter alles sehen kann, was Sie während des Besuchs dieser Website tun (einschließlich Ihrer Transaktionsdetails bei Online-Zahlungen). Es ist sogar möglich, die zwischen Ihnen und dem Webserver übertragenen Daten zu ändern.

Bei HTTPS findet ein Austausch kryptografischer Schlüssel statt, wenn Sie zum ersten Mal eine Verbindung zur Website herstellen. Alle nachfolgenden Aktionen auf der Website werden verschlüsselt und sind daher vor neugierigen Blicken verborgen. Beachten Sie, dass jeder Beobachter sehen kann, dass Sie eine bestimmte Website besucht haben, aber nicht sehen kann, welche einzelnen Seiten Sie lesen oder welche anderen Daten während dieser Website übertragen wurden.

Beispielsweise wird die ProPrivacy-Website mit HTTPS gesichert. Unter der Annahme, dass Sie diese Webseite nicht lesen, kann Ihr ISP feststellen, dass Sie proprivacy.com besucht haben, kann jedoch nicht feststellen, dass Sie diesen bestimmten Artikel lesen.

Wenn Sie ein VPN verwenden, kann Ihr VPN-Anbieter dieselben Informationen anzeigen, aber ein guter Anbieter verwendet freigegebene IP-Adressen, sodass er nicht weiß, welche seiner vielen Benutzer proprivacy.com besucht haben, und alle Protokolle in Bezug auf verwirft trotzdem besuchen.

Beachten Sie, dass HTTPS eine End-to-End-Verschlüsselung verwendet, sodass alle Daten, die zwischen Ihrem Computer (oder Smartphone usw.) und dieser Website übertragen werden, verschlüsselt werden. Dies bedeutet, dass Sie sicher auf HTTPS-Websites zugreifen können, auch wenn Sie mit ungesicherten öffentlichen WLAN-Hotspots und dergleichen verbunden sind.

Woher weiß ich, ob eine Website sicher ist??

Es ist leicht festzustellen, ob eine von Ihnen besuchte Website durch HTTPS geschützt ist:

  1. Insgesamt sehen Sie links neben der Haupt-URL / Suchleiste ein Schlosssymbol.
  2. In den meisten Fällen beginnt die Webadresse mit https: //. (Ungesicherte Websites beginnen mit http: //, aber sowohl https: // als auch http: // werden häufig ausgeblendet.)

Ungesicherte Website Firefox - kein HTTPS

Ungesicherte Website Chrome

Hier sind Beispiele für ungesicherte Websites (Firefox und Chrome). Beachten Sie, dass die Webadressen (URLs) nicht mit https beginnen und links von der Suchleiste kein Schlosssymbol angezeigt wird

Gesicherte Website Firefox

Gesicherte Website Chrome

Gesicherte Website Edge

Hier sind einige sichere HTTPS-Websites in Firefox, Chrome und Microsoft Edge. Obwohl sie alle leicht unterschiedlich aussehen, sehen wir in allen ein geschlossenes Vorhängeschlosssymbol neben der Adressleiste. Beachten Sie, dass Edge im Gegensatz zu den meisten Browsern nicht https: // am Anfang der URL anzeigt. Sie werden auch feststellen, dass das Symbol entweder grün oder grau sein kann.

Was ist der Unterschied zwischen grünen und grauen Vorhängeschlosssymbolen??

Wenn ein Schlosssymbol angezeigt wird, ist die Website sicher. Wenn das Symbol jedoch grün ist, weist dies darauf hin, dass die Website Ihrem Browser ein Extended Validation Certificate (EV) vorgelegt hat. Diese sollen sicherstellen, dass das angezeigte SSL-Zertifikat für die Domain korrekt ist und dass der Domainname zu dem Unternehmen gehört, von dem Sie erwarten, dass es die Website besitzt.

Theoretisch sollten Sie also mehr Vertrauen in Websites haben, auf denen ein grünes Vorhängeschloss angezeigt wird. In der Praxis kann das Validierungssystem jedoch verwirrend sein.

nwolb

In Großbritannien wird die Online-Banking-Adresse der NatWest Bank (www.nwolb.com) beispielsweise durch ein Elektrofahrzeug gesichert, das dem zufälligen Beobachter als Konkurrent auf der Hauptstraße - der Royal Bank of Scotland - angehört. Sofern Sie nicht wissen, dass NatWest im Besitz von RBS ist, kann dies zu Misstrauen gegenüber dem Zertifikat führen, unabhängig davon, ob Ihr Browser ihm ein grünes Symbol gegeben hat.

Verwirrung kann auch durch die Tatsache verursacht werden, dass verschiedene Browser manchmal unterschiedliche Kriterien für die Annahme von Firefox und Chrome verwenden, z. B. ein grünes Vorhängeschloss beim Besuch von Wikipedia.com, Microsoft Edge jedoch ein graues Symbol anzeigt.

Im Allgemeinen sollte der gesunde Menschenverstand Vorrang haben. Wenn Sie Google besuchen und die URL www.google.com lautet, können Sie ziemlich sicher sein, dass die Domain zu Google gehört, unabhängig vom Schlosssymbol!

Andere Vorhängeschlosssymbole

Sie können auch auf andere Vorhängeschlosssymbole stoßen, die z. B. gemischte Inhalte (die Website ist nur teilweise verschlüsselt und verhindert kein Abhören) und fehlerhafte oder abgelaufene SSL-Zertifikate kennzeichnen. Solche Websites sind nicht sicher.

Zusätzliche Information

In allen Browsern erhalten Sie zusätzliche Informationen zum SSL-Zertifikat, mit dem die HTTPS-Verbindung überprüft wurde, indem Sie auf das Schlosssymbol klicken.

HTTPS mehr Infos

In den meisten Browsern können Sie weiter graben und sogar das SSL-Zertifikat selbst anzeigen

Wie funktioniert HTTPS eigentlich??

Der Name Hypertext Transfer Protocol (HTTP) bezeichnet im Wesentlichen ungesichertes Standardprotokoll (es ist das Anwendungsprotokoll, mit dem Webseiten über Hyperlinks miteinander verbunden werden können)..

HTTPS-Webseiten werden mit TLS-Verschlüsselung gesichert, wobei die Authentifizierungsalgorithmen vom Webserver festgelegt werden.

TLS-Details

In den meisten Browsern werden Details zur TLS-Verschlüsselung angezeigt, die für HTTPS-Verbindungen verwendet wird. Dies ist die von ProPrivacy verwendete Verschlüsselung, die in Firefox angezeigt wird. Weitere Informationen zu vielen der verwendeten Begriffe finden Sie hier

Zur Aushandlung einer neuen Verbindung verwendet HTTPS die X.509 Public Key Infrastructure (PKI), ein asymmetrisches Verschlüsselungssystem, bei dem ein Webserver einen öffentlichen Schlüssel darstellt, der mit dem privaten Schlüssel eines Browsers entschlüsselt wird. Um einen Man-in-the-Middle-Angriff abzuwehren, verwendet X.509 HTTPS-Zertifikate - kleine Datendateien, die den öffentlichen kryptografischen Schlüssel einer Website digital an die Details einer Organisation binden.

Ein HTTPS-Zertifikat wird von einer anerkannten Zertifizierungsstelle (Certificate Authority, CA) ausgestellt, die den Besitz eines öffentlichen Schlüssels anhand des benannten Subjekts des Zertifikats bestätigt und kryptografisch als vertrauenswürdiger Dritter (Trusted Third Party, TTP) handelt..

Wenn eine Website Ihrem Browser ein Zertifikat einer anerkannten Zertifizierungsstelle anzeigt, stellt Ihr Browser fest, dass die Website echt ist (a zeigt ein geschlossenes Vorhängeschlosssymbol an). Wie bereits erwähnt, sind Extended Validation Certificates (EVs) ein Versuch, das Vertrauen in diese SSL-Zertifikate zu verbessern.

Überall HTTPS

Viele Websites können, aber nicht standardmäßig verwenden. In solchen Fällen ist es häufig möglich, sicher auf sie zuzugreifen, indem der Webadresse https: // (anstatt: //) vorangestellt wird. Eine viel bessere Lösung ist jedoch die Verwendung von HTTPS Everywhere.

Dies ist eine kostenlose Open-Source-Browser-Erweiterung, die in Zusammenarbeit mit der Electronic Frontier Foundation entwickelt wurde. Einmal installiert, verwendet HTTPS Everywhere "clevere Technologie, um Anfragen an diese Sites an HTTPS zu senden."

Wenn eine HTTPS-Verbindung verfügbar ist, versucht die Erweiterung, Sie über HTTPS sicher mit der Website zu verbinden, auch wenn dies nicht standardmäßig erfolgt. Wenn überhaupt keine HTTPS-Verbindung verfügbar ist, stellen Sie eine Verbindung über normales unsicheres HTTP her.

Wenn HTTPS Everywhere installiert ist, stellen Sie sicher eine Verbindung zu vielen weiteren Websites her, und dies gilt auch für uns dringend zu empfehlen Installieren Sie es. HTTP Everywhere ist für Firefox (einschließlich Firefox für Android), Chrome und Opera verfügbar.

Probleme mit HTTPS

Gefälschte SSL-Zertifikate

Das größte Problem bei HTTPS besteht darin, dass das gesamte System auf ein Web of Trust angewiesen ist. Wir vertrauen darauf, dass Zertifizierungsstellen nur SSL-Zertifikate an bestätigte Domaininhaber ausstellen. Jedoch…

Es gibt 1200 Zertifizierungsstellen, die Zertifikate für Domänen signieren können, die von nahezu jedem Browser akzeptiert werden. Obwohl es mit vielen Formalitäten verbunden ist, eine Zertifizierungsstelle zu werden (nicht jeder kann sich selbst als Zertifizierungsstelle einrichten!), Können sich Regierungen (das größte Problem) auf sie stützen (und sie werden), von Gaunern eingeschüchtert oder von Kriminellen gehackt, um Falschaussagen zu machen Zertifikate.

Das bedeutet, dass:

  1. Bei Hunderten von Zertifizierungsstellen ist es nur ein einziges "schlechtes Ei", das zweifelhafte Zertifikate ausstellt, um das gesamte System zu gefährden
  2. Sobald ein Zertifikat ausgestellt wurde, gibt es keine Möglichkeit, dieses Zertifikat zu widerrufen, es sei denn, der Browserhersteller stellt eine vollständige Aktualisierung des Browsers aus.

Wenn Ihr Browser eine manipulierte Website besucht und ein gültiges HTTPS-Zertifikat angezeigt bekommt, wird eine sichere Verbindung hergestellt und ein Vorhängeschloss in der URL angezeigt.

Die beängstigende Sache ist, dass nur eine der 1200+ CAs kompromittiert worden sein muss, damit Ihr Browser die Verbindung akzeptiert. Wie dieser EFF-Artikel feststellt,

Kurz gesagt: Es gibt heute viele Möglichkeiten, HTTPS / TLS / SSL zu unterbrechen, auch wenn Websites alles richtig machen. Wie derzeit implementiert, sind die Sicherheitsprotokolle des Webs zwar gut genug, um sich vor Angreifern mit begrenzter Zeit und Motivation zu schützen, aber sie sind nicht ausreichend für eine Welt, in der geopolitische und geschäftliche Wettbewerbe zunehmend durch Angriffe auf die Sicherheit von Computersystemen ausgetragen werden.

Peter Eckersley

Leider ist dieses Problem alles andere als theoretisch. Ebenso gibt es leider keine allgemein anerkannten Lösungen, obwohl die meisten modernen Websites zusammen mit EVs das Public-Key-Pinning einsetzen, um das Problem anzugehen.

Beim Pinning mit öffentlichen Schlüsseln ordnet der Browser einem Website-Host das erwartete HTTPS-Zertifikat oder den öffentlichen Schlüssel zu (diese Zuordnung wird an den Host 'gepinnt'). Wenn ein unerwartetes Zertifikat oder ein unerwarteter Schlüssel angezeigt wird, lehnt der Browser die Verbindung ab und gibt ein aus Warnung.

Die Electronic Frontier Foundation (EFF) startete auch ein SSL-Beobachtungsprojekt mit dem Ziel, alle zur Absicherung des Internets verwendeten Zertifikate zu untersuchen und die Öffentlichkeit aufzufordern, die Zertifikate zur Analyse einzusenden. Soweit mir bekannt ist, ist dieses Projekt jedoch nie wirklich erfolgreich verlaufen und hat jahrelang geschlafen.

Verkehrsanalyse

Forscher haben gezeigt, dass die Verkehrsanalyse für HTTPS-Verbindungen verwendet werden kann, um einzelne Webseiten zu identifizieren, die von einem Ziel auf HTTPS-gesicherten Websites mit 89 Genauigkeit besucht wurden.

Eine solche Analyse ist zwar besorgniserregend, stellt jedoch einen gezielten Angriff auf ein bestimmtes Opfer dar.

HTTPS-Fazit

Obwohl nicht perfekt (aber was ist?), Ist HTTPS eine gute Sicherheitsmaßnahme für Websites. Andernfalls wäre keine der Milliarden von Finanztransaktionen und Übertragungen personenbezogener Daten möglich, die jeden Tag im Internet stattfinden, und das Internet selbst (und möglicherweise die Weltwirtschaft!) Würde über Nacht zusammenbrechen.

Die Tatsache, dass die Implementierung von HTTPS auf Websites immer mehr zum Standard wird, ist sowohl für die Privatsphäre als auch für den Datenschutz von Vorteil (da dies die Arbeit der NSA und ihresgleichen erheblich erschwert!)..

Das Wichtigste, woran Sie sich erinnern sollten, ist, immer nach einem geschlossenen Vorhängeschloss zu suchen, wenn Sie etwas tun, das Sicherheit oder Privatsphäre im Internet erfordert. Wenn Sie eine unsichere Internetverbindung verwenden (z. B. einen öffentlichen WLAN-Hotspot), können Sie weiterhin sicher im Internet surfen, solange Sie nur HTTPS-verschlüsselte Websites besuchen.

Wenn Sie sich aus irgendeinem Grund Sorgen über eine Website machen, können Sie deren SSL-Zertifikat überprüfen, um festzustellen, ob es dem Eigentümer gehört, den Sie von dieser Website erwarten würden.

Die TL besagt, dass Sie dank HTTPS sicher und privat auf Websites surfen können, was sich positiv auf Ihre Sicherheit auswirkt!

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me