Richtig verschlüsseln mit Firefox 3
Bei Firefox 3 hat das Mozilla-Team den Umgang mit Zertifikaten überarbeitet, leider nicht immer zum Besseren. Doch ein paar Handgriffe schaffen mehr Komfort und letztlich auch mehr Sicherheit.
Normalerweise geht im Web erst mal alles im Klartext über die Leitung - auch wenn es sich dabei um kritische Informationen wie Passwörter oder Kontodaten handelt. Will man ungewollte Mitleser aussperren, müssen die übertragenen Daten verschlüsselt werden. Im Web erkennt man den Einsatz von Verschlüsselung daran, dass die URL in der Adressleiste mit "https" ("s" wie sicher) statt "http" beginnt.
Dabei muss man allerdings ganz sicher sein, dass sich am anderen Ende der Leitung tatsächlich der richtige Empfänger befindet. Die beste 256-Bit-AES-Verschlüsselung nutzt nichts, wenn dort der Angreifer sitzt und man ihm den Schlüssel somit frei Haus liefert. Deshalb lassen sich Betreiber eines Servers ihre Identität von einer vertrauenswürdigen Zertifizierungsstelle (CA) bestätigen. Deren digitale Unterschrift kann der Browser überprüfen und dann dem Anwender signalisieren, dass er sich auf der richtigen Website befindet.
Bis Version 2 tat Firefox dies, indem er die komplette Adresszeile gelb einfärbte und mit einem Schloss versah. Wenn man das einmal wusste, war es kaum zu übersehen und das Fehlen von Gelb und Schloss war ein deutliches Signal für fehlende Verschlüsselung. Seit Version 3 konzentriert sich Mozilla - wie im Übrigen auch Microsoft mit Internet Explorer 7 - auf die sogenannten Extended Validation (EV) Zertifikate.
Bei denen versprechen die Zertifizierungsstellen, die Identität des Antragstellers genauer zu prüfen; technisch unterscheiden sich EV-SSL-Zertifikate jedoch nicht von herkömmlichen SSL-Zertifikaten. Da EV-Zertifikate recht teuer sind, konnten sie sich außer bei Banken bislang nicht durchsetzen. Anfang 2008 zählte Netcraft nur etwas über 4000 weltweit. Von den über 800.000 gültigen, also von Standard-CAs unterschriebenen, normalen SSL-Zertifikaten sind das gerade mal 0,5 Prozent.
Die normalen SSL-Zertifikate kommen somit nach wie vor beim Gros der Online-Shops zum Einsatz, bei denen man persönliche Daten, Kreditkarteninformationen und Ähnliches eingeben muss. Trotzdem behandelt Firefox sie mittlerweile sehr stiefmütterlich. Das beginnt damit, dass das Schloss in der Adresszeile und deren Färbung entfallen. Was bleibt, ist ein kleiner blauer Rahmen um das Favicon der Seite, der sich mit einem gut gemachten Favicon so nachahmen lässt, dass die Täuschung zumindest nicht ins Auge springt.
Das kann man jedoch leicht verbessern. Dazu muss man die Pseudo-URL about:config aufrufen, wovor Firefox allerdings mit einem "Hier endet möglicherweise die Gewährleistung!" warnt. Nach dem eingeforderten Versprechen, vorsichtig zu sein, führt die Eingabe von identity im Suchfeld zur Einstellung browser.identity.ssl_domain_display deren Wert man von 0 auf 1 setzt.
Damit gleicht Firefox die Adresszeile von https-Sites der von EVSSL-Sites an, verwendet aber die Farbe Blau statt Grün. Die Verwechslungsgefahr mit ungesicherten Seiten ist damit minimal.
