Abo
  • Services:
Anzeige
Das Netz ist auf dem Weg zu HTTPS für alle Webseiten.
Das Netz ist auf dem Weg zu HTTPS für alle Webseiten. (Bild: Screenshot / bearbeitet: Hanno Böck)

Netzverschlüsselung: Mythen über HTTPS

Google will HTTP zum unsicheren Protokoll degradieren, der Trend geht zum verschlüsselten Netz. Daran gibt es auch Kritik, doch die beruht oft auf Missverständnissen.

Anzeige

Der Trend im Netz geht klar in Richtung HTTPS. Große Webseiten wie Facebook, Twitter oder Google sind längst nur noch verschlüsselt erreichbar. Vor allem Google treibt die Verschlüsselung des Netzverkehrs voran. Der Suchmaschinenriese bevorzugt HTTPS-Seiten inzwischen beim Indizieren. Langfristig soll der Chrome-Browser vor HTTP-Verbindungen ohne TLS warnen.

Während Google für seine Schritte von Kryptographen und IT-Sicherheitsexperten viel Lob erhält, gibt es auch Kritik. Die basiert aber häufig auf falschen Vorstellungen davon, wie HTTPS eigentlich funktioniert.

Mythos: HTTPS-Verschlüsselung für reine Inhalte ist nutzlos

Weit verbreitet ist die Annahme, dass HTTPS nur bei Webseiten mit Logins oder jenen, bei denen sensible Daten übertragen werden, etwas bringt. Wozu etwa ein Blog verschlüsselt übertragen, wenn die Inhalte sowieso jeder lesen darf?

HTTPS gewährleistet jedoch mehr als nur die Verschlüsselung von Inhalten. Eine abgesicherte Verbindung garantiert neben der Vertraulichkeit auch die Echtheit der übertragenen Daten. Anders ausgedrückt: Es wird gewährleistet, dass beim Nutzer auch wirklich das ankommt, was der Server abgeschickt hat. Dass Inhalte auf dem Übertragungsweg manipuliert werden, kommt häufig vor und führt zu realen Problemen.

Sehr aufschlussreich ist ein Eintrag auf der Webseite Stackoverflow: Der Fragende schreibt von einem WLAN in Cafés, deren Betreiber die Idee hatte, die Werbung auf den übertragenen Webseiten durch eigene Werbung zu ersetzen. Der US-Provider Comcast hat Ähnliches bereits in die Praxis umgesetzt und fremde Webseiten mit eigener Javascript-Werbung versehen. Schlagzeilen machte kürzlich auch der US-Provider Verizon, weil er ungefragt Cookies in übertragene Webseiten einbaute. Damit überwacht Verizon die Surfgewohnheiten seiner Kunden.

Ebenfalls denkbar ist natürlich, dass Angreifer unverschlüsselte Datenübertragung nutzen, um Malware in Webseiten einzufügen. Das könnte beispielsweise in offenen WLANs passieren oder auch bei Tor-Exit-Nodes. Dazu kommen harmlosere aber dennoch möglicherweise unerwünschte Manipulationen, etwa wenn Anbieter mobiler Netzzugänge Bilder zusätzlich komprimieren oder übertragene HTML-Daten optimieren.

Derartige Manipulationen von Daten auf dem Übertragungsweg sind nur möglich, weil gewöhnliche Verbindungen im Netz die Echtheit der übertragenen Daten nicht gewährleisten. Durch HTTPS weiß der Nutzer, dass die Daten, die er empfängt, auch wirklich vom angegebenen Server stammen.

Mythos: Zertifikate sind zu teuer

Vielfach wird eingewandt, dass die weitere Verbreitung von HTTPS nur dem Geschäft der Zertifizierungsstellen diene. Doch anders als noch vor einigen Jahren sind entsprechende Zertifikate heute sehr günstig zu bekommen. Die israelische Firma StartSSL, deren Zertifikat seit langem von allen Browsern akzeptiert wird, bietet sogar kostenlose Zertifikate. Im nächsten Jahr soll zudem die von Mozilla, der EFF und anderen getragene Zertifizierungsstelle Let's encrypt ihren Betrieb aufnehmen, die das Ziel hat, Zertifikate kostenlos und möglichst einfach auszustellen.

Bezahlen muss man heute für Zertifikate nur noch, wenn man Wildcard-Zertifikate oder Extended-Validation-Zertifikate nutzen möchte. Wildcard-Zertifikate gelten für mehrere Subdomains (etwa *.example.com), bei EV-Zertifikaten wird nicht nur der Besitz der Domain, sondern auch der Inhaber überprüft, und im Browser wird etwa der Firmenname in einer grünen Leiste angezeigt. Für einfache Webseiten reichen kostenlose Zertifikate völlig aus.

Mythos: HTTPS ist viel zu langsam 

eye home zur Startseite
hjp 22. Dez 2014

Als ich das vor einiger Zeit bei StartSSL probiert habe, ging das ebenfalls über ein...

hjp 22. Dez 2014

Der Schlüssel wird bei dem von mir beschriebenen Verfahren eben nicht von der CA...

spiderbit 19. Dez 2014

naja 1. wird der key automatisch erzeugt 2. ist die aufnahme der ausname ein y enter...

HubertHans 19. Dez 2014

Ich glaube du hast es nicht richtig gelesen und bist den Uebertreibungen aufgesessen...

jaykay2342 19. Dez 2014

Ach bei Java ist noch viel mehr kaputt :P



Anzeige

Stellenmarkt
  1. HAMBURG SÜD Schifffahrtsgruppe, Hamburg
  2. Vodafone Kabel Deutschland GmbH, Unterföhring (bei München)
  3. über Ratbacher GmbH, Raum Bayreuth
  4. ING-DiBa AG, Frankfurt


Anzeige
Hardware-Angebote
  1. (nur in den Bereichen "Mainboards", "Smartphones" und "TV-Geräte")
  2. (täglich neue Deals)
  3. 126.99$/115,01€ mit Gutscheincode: Leecocde

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Mit digitalen Workflows Geschäftsprozesse agiler machen
  2. Potenzialanalyse für eine effiziente DMS- und ECM-Strategie
  3. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation


  1. Brandgefahr

    Akku mit eingebautem Feuerlöscher

  2. Javascript und Node.js

    NPM ist weltweit größtes Paketarchiv

  3. Verdacht der Bestechung

    Staatsanwalt beantragt Haftbefehl gegen Samsung-Chef

  4. Nintendo Switch im Hands on

    Die Rückkehr der Fuchtel-Ritter

  5. Raspberry Pi

    Compute Module 3 ist verfügbar

  6. Microsoft

    Hyper-V bekommt Schnellassistenten und Speicherfragmente

  7. Airbus-Chef

    Fliegen ohne Piloten rückt näher

  8. Cartapping

    Autos werden seit 15 Jahren digital verwanzt

  9. Auto

    Die Kopfstütze des Fahrersitzes erkennt Sekundenschlaf

  10. World of Warcraft

    Fans der Classic-Version bereuen "Piraten-Server"



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Reverse Engineering: Mehr Spaß mit Amazons Dash-Button
Reverse Engineering
Mehr Spaß mit Amazons Dash-Button

Tado im Test: Heizkörperthermostate mit effizientem Stalker-Modus
Tado im Test
Heizkörperthermostate mit effizientem Stalker-Modus
  1. Focalcrest Mixtile Hub soll inkompatible Produkte in Homekit einbinden
  2. Airbot LG stellt Roboter für Flughäfen vor
  3. Smarte Lautsprecher Die Stimme ist das Interface der Zukunft

Routertest: Der nicht ganz so schnelle Linksys WRT3200ACM
Routertest
Der nicht ganz so schnelle Linksys WRT3200ACM
  1. Norton Core Symantec bietet sicheren Router mit Kreditkartenpflicht
  2. Routerfreiheit bei Vodafone Der Kampf um die eigene Telefonnummer
  3. Router-Schwachstellen 100.000 Kunden in Großbritannien von Störungen betroffen

  1. Re: WoW 2 wäre mal ganz cool

    ahoihoi | 15:51

  2. Re: Selbst Landungen

    Amalie Ohrenhart | 15:51

  3. Re: Anti-Serum gegen Poisoned Tree-Gift

    Guitarhero | 15:49

  4. Re: Abwärtskompatibel?

    TarikVaineTree | 15:49

  5. Re: ob das klappt?

    NeoTiger | 15:48


  1. 14:17

  2. 13:21

  3. 12:30

  4. 12:08

  5. 12:01

  6. 11:58

  7. 11:48

  8. 11:47


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel