Abo
  • Services:
Anzeige
Das Netz ist auf dem Weg zu HTTPS für alle Webseiten.
Das Netz ist auf dem Weg zu HTTPS für alle Webseiten. (Bild: Screenshot / bearbeitet: Hanno Böck)

Netzverschlüsselung: Mythen über HTTPS

Das Netz ist auf dem Weg zu HTTPS für alle Webseiten.
Das Netz ist auf dem Weg zu HTTPS für alle Webseiten. (Bild: Screenshot / bearbeitet: Hanno Böck)

Google will HTTP zum unsicheren Protokoll degradieren, der Trend geht zum verschlüsselten Netz. Daran gibt es auch Kritik, doch die beruht oft auf Missverständnissen.

Anzeige

Der Trend im Netz geht klar in Richtung HTTPS. Große Webseiten wie Facebook, Twitter oder Google sind längst nur noch verschlüsselt erreichbar. Vor allem Google treibt die Verschlüsselung des Netzverkehrs voran. Der Suchmaschinenriese bevorzugt HTTPS-Seiten inzwischen beim Indizieren. Langfristig soll der Chrome-Browser vor HTTP-Verbindungen ohne TLS warnen.

Während Google für seine Schritte von Kryptographen und IT-Sicherheitsexperten viel Lob erhält, gibt es auch Kritik. Die basiert aber häufig auf falschen Vorstellungen davon, wie HTTPS eigentlich funktioniert.

Mythos: HTTPS-Verschlüsselung für reine Inhalte ist nutzlos

Weit verbreitet ist die Annahme, dass HTTPS nur bei Webseiten mit Logins oder jenen, bei denen sensible Daten übertragen werden, etwas bringt. Wozu etwa ein Blog verschlüsselt übertragen, wenn die Inhalte sowieso jeder lesen darf?

HTTPS gewährleistet jedoch mehr als nur die Verschlüsselung von Inhalten. Eine abgesicherte Verbindung garantiert neben der Vertraulichkeit auch die Echtheit der übertragenen Daten. Anders ausgedrückt: Es wird gewährleistet, dass beim Nutzer auch wirklich das ankommt, was der Server abgeschickt hat. Dass Inhalte auf dem Übertragungsweg manipuliert werden, kommt häufig vor und führt zu realen Problemen.

Sehr aufschlussreich ist ein Eintrag auf der Webseite Stackoverflow: Der Fragende schreibt von einem WLAN in Cafés, deren Betreiber die Idee hatte, die Werbung auf den übertragenen Webseiten durch eigene Werbung zu ersetzen. Der US-Provider Comcast hat Ähnliches bereits in die Praxis umgesetzt und fremde Webseiten mit eigener Javascript-Werbung versehen. Schlagzeilen machte kürzlich auch der US-Provider Verizon, weil er ungefragt Cookies in übertragene Webseiten einbaute. Damit überwacht Verizon die Surfgewohnheiten seiner Kunden.

Ebenfalls denkbar ist natürlich, dass Angreifer unverschlüsselte Datenübertragung nutzen, um Malware in Webseiten einzufügen. Das könnte beispielsweise in offenen WLANs passieren oder auch bei Tor-Exit-Nodes. Dazu kommen harmlosere aber dennoch möglicherweise unerwünschte Manipulationen, etwa wenn Anbieter mobiler Netzzugänge Bilder zusätzlich komprimieren oder übertragene HTML-Daten optimieren.

Derartige Manipulationen von Daten auf dem Übertragungsweg sind nur möglich, weil gewöhnliche Verbindungen im Netz die Echtheit der übertragenen Daten nicht gewährleisten. Durch HTTPS weiß der Nutzer, dass die Daten, die er empfängt, auch wirklich vom angegebenen Server stammen.

Mythos: Zertifikate sind zu teuer

Vielfach wird eingewandt, dass die weitere Verbreitung von HTTPS nur dem Geschäft der Zertifizierungsstellen diene. Doch anders als noch vor einigen Jahren sind entsprechende Zertifikate heute sehr günstig zu bekommen. Die israelische Firma StartSSL, deren Zertifikat seit langem von allen Browsern akzeptiert wird, bietet sogar kostenlose Zertifikate. Im nächsten Jahr soll zudem die von Mozilla, der EFF und anderen getragene Zertifizierungsstelle Let's encrypt ihren Betrieb aufnehmen, die das Ziel hat, Zertifikate kostenlos und möglichst einfach auszustellen.

Bezahlen muss man heute für Zertifikate nur noch, wenn man Wildcard-Zertifikate oder Extended-Validation-Zertifikate nutzen möchte. Wildcard-Zertifikate gelten für mehrere Subdomains (etwa *.example.com), bei EV-Zertifikaten wird nicht nur der Besitz der Domain, sondern auch der Inhaber überprüft, und im Browser wird etwa der Firmenname in einer grünen Leiste angezeigt. Für einfache Webseiten reichen kostenlose Zertifikate völlig aus.

Mythos: HTTPS ist viel zu langsam 

eye home zur Startseite
kinjo 14. Jan 2017

Ich habe err_ssl_protocol_error Problem in meinem PC

hjp 22. Dez 2014

Als ich das vor einiger Zeit bei StartSSL probiert habe, ging das ebenfalls über ein...

hjp 22. Dez 2014

Der Schlüssel wird bei dem von mir beschriebenen Verfahren eben nicht von der CA...

spiderbit 19. Dez 2014

naja 1. wird der key automatisch erzeugt 2. ist die aufnahme der ausname ein y enter...

HubertHans 19. Dez 2014

Ich glaube du hast es nicht richtig gelesen und bist den Uebertreibungen aufgesessen...



Anzeige

Stellenmarkt
  1. T-Systems on site services GmbH, Nürnberg
  2. LeuTek GmbH, Leinfelden-Echterdingen
  3. über Hays AG, Raum München
  4. ETAS GmbH & Co. KG, Stuttgart


Anzeige
Hardware-Angebote
  1. ab 649,90€
  2. 39,99€

Folgen Sie uns
       


  1. Weiblich

    Ein Drittel mehr Informatik-Studienanfängerinnen

  2. Webroot Endpoint Security

    Antivirusprogramm steckt Windows-Dateien in Quarantäne

  3. 1 GBit/s

    Mobilfunkbetreiber verkauft LTE als 5G Evolution

  4. 3D Xpoint

    Intels Optane Memory überzeugt nur bedingt

  5. Elektronischer Personalausweis

    Das tote Pferd soll auferstehen

  6. Siege M04 im Test

    Creatives erste Sound-Blaster-Maus überzeugt

  7. Netgear GS510TLP

    Lüfterloser PoE+-Switch mit 75 Watt Power Budget

  8. Daimler

    Stromspeicher mit Mercedes-Stern für Sonnenenergie

  9. Spielentwickler

    Männlich, 34 Jahre alt und unterbezahlt

  10. Kontrollzentrum

    Drei Finger und das iPhone stürzt ab



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
In eigener Sache: Die Quanten kommen!
In eigener Sache
Die Quanten kommen!
  1. In eigener Sache Golem.de führt kostenpflichtige Links ein
  2. In eigener Sache Golem.de sucht Marketing Manager (w/m)
  3. In eigener Sache Golem.de geht auf Jobmessen

Elektromobilität: Wie kommt der Strom in die Tiefgarage?
Elektromobilität
Wie kommt der Strom in die Tiefgarage?
  1. Elektroauto Opel Ampera-E kostet inklusive Prämie ab 34.950 Euro
  2. Elektroauto Volkswagen I.D. Crozz soll als Crossover autonom fahren
  3. Sportback Concept Audis zweiter E-tron ist ein Sportwagen

DLR-Projekt Eden ISS: Das Paradies ist ein Container
DLR-Projekt Eden ISS
Das Paradies ist ein Container
  1. Weltraumschrott "Der neue Aspekt sind die Megakonstellationen"
  2. Transport Der Güterzug der Zukunft ist ein schneller Roboter
  3. "Die Astronautin" Ich habe heute leider keinen Flug ins All für dich

  1. Re: Bis auf das, was Windows an AV mitbringt ...

    Youkai | 11:34

  2. Re: Humble Mobile Bundle

    david_rieger | 11:33

  3. Statistik - na, und?

    ksi | 11:32

  4. Re: Machen die jetzt dasselbe?

    Stefan99 | 11:31

  5. Re: Herstellerhaftung

    yoyoyo | 11:31


  1. 11:46

  2. 11:22

  3. 10:55

  4. 10:46

  5. 10:05

  6. 09:20

  7. 08:52

  8. 08:04


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel