Verschlüsselt surfen mit HTTPS

Vor einiger Zeit bin ich bereits im Special Sichere Downloads von heise mit HTTPS darauf eingegangen, warum wir unsere Downloads durch eine HTTPS-Verbindung schützen. Nun gibt es diesen Schutz auch für unsere Webseiten.

HTTP als Sicherheitslücke

Ich vermute, dass die meisten von euch durch die Berichterstattung von heise online und der c't bereits wissen, dass man sich im Netz nur auf Login-Seiten anmelden sollte, die den Datenschutz und die Sicherheit durch Verschlüsselung der Internetverbindung gewährleisten. Aber was ist mit den anderen Webseiten?

Wird eine Webseite über eine HTTP-Verbindung vom Server zum eigenen Rechner, Notebook, Smartphone oder Tablet gesendet, kann sie auf ihrem Weg verändert werden, ohne dass man dies bemerkt. Die Gefährdung ist besonders in offenen WLAN-Netzen groß, da diese die Daten nicht verschlüsseln und Hacker sie leicht ausspähen können.

Da auch die Daten einer Webseite bei einer HTTP-Verbindung nicht verschlüsselt sind, kann ein Hacker diese leicht ändern, wenn er sich in die Verbindung einklinkt. Dabei ließe sich zum Beispiel ein Link zur originalen Login-Seite austauschen, sodass man zu einer gefälschten Login-Seite gelangt. Gefälschte Login-Seiten können so gut gemacht sein, dass der Unterschied zum Original nicht erkennbar ist, man dort einfach die Login-Daten, etwa für das Online Banking eingibt, und diese so dem Hacker mitteilt. Ist dieser geschickt, bemerkt ihr dies vielleicht nicht einmal, sodass er sie selbst nutzen kann und euch Schaden zufügt. Wer denkt bei einem gescheiterten Login denn schon gleich an Spionage und ändert sein Passwort?

Befindet sich der Login-Link aber auf einer Webseite, die mit HTTPS, also dem HyperText Transfer Protocol Secure ausgeliefert wird, sind die Daten verschlüsselt. Ein Hacker kann dann nicht mal eben schnell einen Link zur Login-Seite austauschen. HTTPS sorgt somit für mehr Sicherheit.

Offene WLANs und zugängliche Netzwerkkabel

Aber nicht nur Links zu Login-Seiten lassen sich bei HTTP-Verbindungen manipulieren. Prinzipiell ist jeder Inhalt auf der Webseite änderbar, wenn sie unverschlüsselt über das Internet gesendet wird. Man denke nur an falsche Nachrichten, die zum Kauf wertloser Aktien führen; Links zu Webseiten mit Ransomware, die Computer verschlüsseln; oder die Manipulation von Kaufseiten, um an Kreditkarten- oder PayPal-Daten zu gelangen.

Wenn sich zudem euer Mobilgerät automatisch mit offenen WLANs verbindet, ist dies für einen Hacker oder Cracker besonders attraktiv. Denn dann braucht er nur einen von ihm kontrollierten WLAN-Zugang anzubieten, der zudem noch den Namen - die SSID - eines viel genutzten offenen WLANs hat und schon verbindet sich euer Mobilgerät selbstständig damit. Der Hacker ist nun der Man-In-the-Middle und kann den gesamten Datenverkehr mitlesen, kopieren oder manipulieren, wenn dieser nicht über eine sichere HTTPS-Verbindung verschlüsselt ist.

Aber auch jene, die via Netzwerkkabel ans Internet angeschlossen sind, sind nicht automatisch auf der sicheren Seite, wenn der Raum und somit das Datenkabel für andere zugänglich ist. Denn Microcomputer wie der Raspberry Pi lassen sich schnell in eine Kabelverbindung einbauen und leicht verstecken. Unverschlüsselte Daten können so ausgespäht werden, was beim Online-Banking und bei Firmendaten auch mit Blick auf den Datenschutz kritisch wäre.

Schützen kann man sich gegen so etwas nur bedingt. Denn wer kontrolliert schon jeden Tag im Büro, ob die Kabelverbindung unversehrt ist? Allerdings lässt sich die automatische Verbindung mit offenen WLANs deaktivieren. Dann müsst ihr manuell eine WLAN-Verbindung zu einem Hotspot aufbauen und habt die Chance aufzumerken, wenn zum Beispiel ein WLAN-Hotspot von McDonald's angezeigt wird, aber kein Restaurant der Kette in der Nähe ist.

HTTPS steht für Verschlüsselung

Sicher surfen könnt ihr nur über eine HTTPS-Verbindung. Aber Vorsicht! Nur weil eine URL mit "https" beginnt anstatt mit "http", heißt das noch lange nicht, dass die Verbindung auch wirklich sicher ist. Denn HTTPS ist nicht gleich HTTPS, wie ich schon im Special "Sichere Downloads von heise mit HTTPS" schrieb.

Abgesehen davon, dass ein Webseiten-Anbieter eine Verschlüsselung anbieten muss, kommt es auch auf die Art des Verschlüsselungsprotokolls an. Für eine HTTPS-Verbindung werden die Protokolle SSL und TLS verwendet. SSL steht für Secure Sockets Layer und ist der Vorgänger von TLS, der Transport Layer Security. SSL ist heute veraltet und unsicher, sodass aktuelle Webbrowser deren Versionen oft nicht mehr nutzen. Das hat den Vorteil, dass HTTPS-Verbindungen nicht aufgebaut werden, wenn der Webseitenanbieter eine Verschlüsselung mit allzu veralteten und unsicheren Protokollversionen anbietet.

Sichere Verbindungen via HTTPS werden 2016 über die TLS-Version 1.2 aufgebaut, die von den aktuellen Standardbrowsern wie Firefox, Google Chrome, Opera und Windows Edge unterstützt wird. Nutzt ihr einen dieser Browser, wird er immer TLS 1.2 verwenden, wenn der Webdienst diese Verschlüsselung anbietet. Nur wenn das nicht der Fall ist, wird eine andere gewählt, die Server und Browser kennen.

Ist eine sichere Verbindung aufgebaut, seht ihr im Browser ein grünes, geschlossenes Schloss neben der Internet-Adresse. Das Symbol verrät aber noch mehr, wenn ihr darauf klickt. Bei Firefox öffnet ein Klick einen Infobereich, der euch mitteilt, dass zum Beispiel eine sichere Verbindung zu www.heise.de besteht. Ein weiterer Klick auf den Pfeil rechts daneben nennt euch die Zertifizierungsstelle und bietet einen Link für weitere Informationen an. Dort findet ihr neben der Webseite und der Zertifizierungsstelle technische Details zu der eingesetzten Verschlüsselung inklusive Schlüssellänge.

HTTPS beinhaltet eine Zertifizierung

Damit eine Internetverbindung sicher ist, genügt die reine Verschlüsselung nicht. Schließlich muss auch sichergestellt sein, dass eine Webseite vom richtigen Anbieter kommt. Dies wird über digitale Zertifikate gewährleistet, die Zertifizierungstellen ausstellen.

Aktuelle Browser prüfen anhand der Zertifikate eine Verbindung und lehnen diese ab, wenn sie dem Zertifikat und somit der Verbindung nicht vertrauen. Für die Prüfung haben Webbrowser Listen von vertrauenswürdigen Zertifikaten, die regelmäßig aktualisiert werden. Erst wenn die Prüfung erfolgreich ist und der verschlüsselten Verbindung vertraut wird, erscheint das grüne, geschlossenen Schloss neben der URL.

HTTPS bei heise Download

So viel allgemein zu HTTPS, und nun noch etwas in eigener Sache.

Durch HTTPS sind mittlerweile nicht nur die Downloads von heise Download sicher, sondern auch das Surfen auf unseren Webseiten. Wenn ihr das grüne, geschlossene Schloss neben unserer URL seht, könnt ihr davon ausgehen, dass die Daten von uns über eine verschlüsselte Verbindung zu euch gelangt sind. Denn wir nutzen das aktuelle TLS 1.2 und verwenden eine Schlüssellänge von 256 Bit. Damit liegen wir im Vergleich zu vielen anderen Webdiensten einige Nasenlängen vorn.

Der Schutz mit HTTPS geht teilweise so weit, dass zum Beispiel Firefox eingebettete Inhalte blockiert, die mit HTTP ausgeliefert werden. Ich bemerkte dies bei unserem hauseigenen Eintrag zum AdwCleaner, in dem versehentlich ein mit einem HTTP-Link eingebundenes YouTube-Video integriert war, das somit von Firefox nicht angezeigt wurde. Solltet ihr auf blockierte Inhalte stoßen, sagt uns bitte via E-Mail Bescheid, damit wir das Problem beheben können.

Wer sich von euch fragt, ob gespeicherte Lesezeichen nun ungültig sind, den kann ich beruhigen. Wir bieten nämlich eine automatische Umleitung auf die HTTPS-Seiten an. Wenn ihr http://www.heise.de/download/ eingebt oder über ein älteres Lesezeichen zu einem Programm wollt, wird der Link ganz automatisch zu der entsprechenden HTTPS-Seite umgeleitet. Ihr braucht also eure Links zu uns nicht ändern, um sicher auf unseren Webseiten zu surfen.

Viel Spaß beim sicheren Surfen!

Euer Matthias