Wenn Sie eine Website öffnen, meldet Ihnen der Browser, dass etwas “nicht geschützt” ist. Einige Leute denken, dass solche Seiten mit Viren gefüllt sind und dass es gefährlich ist, auf ihnen zu bleiben. Tatsächlich ist es nicht so schlimm, wie Sie denken – die Website hat einfach kein SSL Zertifikat. Wir werden herausfinden, welche Art von Technologie dieses SSL ist und warum es nicht so einfach ist, wie es scheint.
Was ist ein SSL Zertifikat
Technische Erklärung zu SSL und HTTPS
Das seit 1992 verwendete Standardprotokoll für die Datenübertragung im Web ist HTTP. Dieses Protokoll legt die Regeln fest, nach denen Benutzer Websites anfordern, und Server geben diese Websites an. Das Protokoll ist nur eine Vereinbarung: “Übergeben Sie den Seitentitel so, Text so, fragen Sie nach dem Passwort so.” Das Protokoll kann alles sein, was sich im Inneren befindet, die Hauptsache ist, dass jeder zustimmt, es zu benutzen.
Der Nachteil des HTTP-Protokolls ist, dass es Daten im Klartext überträgt. Wenn Sie die Kartendaten auf einer Seite mit HTTP eingeben, dann fliegen sie unverschlüsselt über die Kommunikationskanäle. Ein Angreifer kann sie abfangen und lesen – es genügt zum Beispiel, den gesamten Datenverkehr im drahtlosen Netzwerk zu “hören”.
HTTP ist ein schnelles, aber unsicheres Protokoll. Es ist schwer, es zu beschuldigen: Als es erstellt wurde, dachte niemand, dass Kreditkarteninformationen auf den Seiten eingegeben werden würden. Sie dachten, sie würden die Ergebnisse der wissenschaftlichen Forschung austauschen.
Um das Problem der unverschlüsselten Daten zu lösen, entwickelten sie im Jahr 2000 das HTTPS – HyperText Transfer Protocol Secure, ein sicheres Hypertext-Übertragungsprotokoll. Im Inneren funktioniert es wie normales HTTP, aber außerhalb verschlüsselt es den gesamten Datenverkehr. Selbst wenn jemand in der Mitte einen Keil zieht, sieht er nur einen Code, der nicht zerlegt werden kann.
Für die Verschlüsselung von Seiten in HTTPS ist das SSL-Protokoll Secure Sockets Layer, eine Ebene von sicheren Sockets. Sockets sind virtuelle Verbindungen zwischen Computern. Ein sicherer Sockel bedeutet, dass die Daten, die intern von einem Computer zum anderen übertragen werden, sicher sind. Wenn der Browser die Seite mit Informationen darüber öffnet, wie tor mit diesem Protokoll funktioniert, dann verschlüsselt er vor dem Senden an den Server alles, was Sie tun oder auf der Website eingeben. Genau das ist es, wenn Sie Zahlungskartendaten senden oder sich mit einem Passwort aus dem Dienst anmelden müssen.
Tatsächlich verwenden sie seit etwa 2014 anstelle von SSL TLS, das als Update auf SSL 3.0 konzipiert wurde. Tatsache ist, dass sie 2014 eine Schwachstelle im SSL Protokoll entdeckt haben, mit der Sie alle Daten entschlüsseln können. TLS hat diese Schwachstelle nicht speziell (aber es gibt wahrscheinlich noch andere), so dass jeder problemlos darauf umsteigen konnte, aber wegen des alten Speichers und der Gewohnheit nennen sie alles eine SSL Verbindung und SSL Zertifikate.
So funktioniert das SSL-Protokoll
- Nach Eingabe der Adresse geht der Browser zum gewünschten Server und fordert dort über HTTPS eine Seite an. Wenn die Seiten mit HTTPS arbeiten, dann ist alles in Ordnung, fahren Sie mit Schritt 2 fort. Wenn der Server immer noch das alte HTTP-Protokoll verwendet, dann gibt er dem Browser eine Seite mit diesem unsicheren Protokoll und es gibt keine weitere Verschlüsselung.
- Der Server sendet eine Kopie seines SSL-Zertifikats an den Browser, so dass der Browser sicherstellt, dass alles in Ordnung ist. In einem solchen Zertifikat steht, um welche Art von Domain es sich handelt, wer das Zertifikat ausgestellt hat und welche Informationen über den Eigentümer vorliegen.
- Der Browser überprüft die Authentizität des Zertifikats und sendet, wenn alles in Ordnung ist, seinen öffentlichen Schlüssel zur SSL-Verschlüsselung zurück. Wenn noch nicht klar ist, was ein öffentlicher Schlüssel ist, wird bereits etwas Geduld vorbereitet.
- Der Server verschlüsselt die Seite mit dem empfangenen Schlüssel und sendet ihn an den Browser.
- Der Browser entschlüsselt die Seite, zeigt sie dem Benutzer an und teilt dem Server mit, dass alles in Ordnung ist, woran wir gerade arbeiten. Von nun an sind alle Daten verschlüsselt und Sie können alles an den Server senden.
Was ist mit regulären Standorten ohne Zertifikate?
Wenn die Website kein Zertifikat hat, bedeutet das nicht, dass die Website schlecht ist. Das bedeutet, dass die Daten, die Sie dort eingeben werden, beim Clear übertragen werden. Das bedeutet, dass sie leichter abzufangen sind. Wenn du nichts auf der Seite ausfüllst oder einen Kommentar hinterlässt, ohne dich zu registrieren, wird nichts Schreckliches passieren und du musst dich nicht fragen, was Facebook über mich weiß.
Es gibt viele Websites, die keine Zertifikate verwenden und von den Benutzern nichts verlangen – Visitenkartenseiten, Unternehmensseiten und Informationsportale.
Einige glauben, dass, wenn es keine sichere Verbindung gibt, Hacker Sie sofort angreifen oder mit Malware infizieren werden, aber das ist nicht wahr. Der Virus kann auch auf einer Website mit einem SSL-Zertifikat aufgespürt werden, wenn der Domaininhaber ihn dort platziert.
Wie erhalte ich SSL Zertifikate?
Dies ist nicht nur eine 5-minütige Frage, sondern in einigen Fällen auch eine kostenlose Operation. Heutzutage können Sie automatisch ein Zertifikat für jede neue Website erhalten, auch wenn Sie eine betrügerische Website haben. Dazu genügt es, Administratorrechte auf Ihre Website zu haben.
Was ist falsch an der SSL Sicherheit?
Das Schlosssymbol und die Aufschrift “Protected” bedeutet nur, dass der Browser eine sichere Verbindung mit dem Server hergestellt hat. Wenn jemand versucht, den Datenverkehr abzufangen, dann wird er ihn immer noch nicht entschlüsseln können. Aber wenn ein Angreifer ein SSL-Zertifikat auf seine Website stellt und Informationen über Zahlungskarten akzeptiert, dann fallen sie ihm in die Hände.
Niemand kann einen Kriminellen davon abhalten, ein Zertifikat zu erhalten, es auf seiner Website zu installieren und vorzugeben, dass dies eine sichere Seite ist. Ein SSL-Zertifikat garantiert eine sichere Datenübertragung, ist aber nicht dafür verantwortlich, wohin sie gesendet wird. Bevor Sie sensible Informationen auf der Website eingeben, stellen Sie daher sicher, dass die Website dem richtigen Unternehmen gehört. Manchmal passiert es so: Angreifer ändern einen Buchstaben in der Adresse der Website, erhalten ein Zertifikat und erstellen genau das gleiche Design wie im Original. Jemand kommt zu einer solchen Seite für Einkäufe, gibt die Kartendaten ein und…. du weißt schon. Sei vorsichtig.