Thomas Wölfers Baustatik-Blog

Thomas Wölfers Baustatik Blog

SSL–warum “sichere” Webseiten


Unser Webauftritt ist schon seit Jahre per SSL "gesichert" - aber was soll das eigentlich? Der Inhalt unserer Webseite ist ja nicht gerade geheim.

Kurze Antwort: Das ganze dient dem Schutz der Besucher – Es ist eigentlich unverantwortlich, Webseiten ohne SSL zu veröffentlichen.

Etwas längere Antwort: Wenn eine Website per SSL geschützt ist, dann hat das für den Besucher keine besonderen Auswirkungen: Der Browser zeigt in der Adresszeile zwar ein spezielles zusätzliches Symbol an, aber sonst ändert sich nichts. (Das Symbol sieht in jedem Browser blöderweise anders aus.)

image

Im Hintergrund passieren aber spannenden Dinge, und die haben damit zu tun, wie die Daten vom Server an den Browser (und auch vom Browser an den Server) übertragen werden: Die werden auf eine spezielle Art verschlüsselt.

Nun wird man sich fragen: Wieso eigentlich? Immerhin handelt es sich um Daten einer Webseite, und die ist ohnehin öffentlich verfüg- und einsehbar. Warum also sollte man deren Daten verschlüsseln – und dann auch nur im Transit, also während die Daten vom Server zum Browser unterwegs sind?

Die Antwort darauf verblüfft: Das passiert, damit niemand diese Daten ändern kann. Klingt nicht besonders überzeugend – denn wie sollte irgendwer diese Daten ändern, und ehrlich gesagt: Warum sollte irgendwer ein Interesse daran haben, dem Besucher unserer Webseite andere Daten zu liefern als die, die wir eigentlich liefern wollen. Klar – man könnte dann die Text ändern die der Browser anzeigt, nur: Warum?

Zunächst mal: Wie könnte man die Daten ändern? Das ist dankbarerweise einfach erklärt: Die vom Webserver gelieferten Daten durchlaufen multiple Computer, bis sie beim Browser des Besuchers angekommen sind. Dazu gehören die Router, die direkt vor dem Server stehen, die Rechner des Internetproviders des Besuchers und zuletzt der Router und der eigentliche Computer des Besuchers. Auf all diesen Systemen läuft Software die die Daten transportiert – und diese Software kann diese Daten tendenziell auch verändern. Soweit ist das ganze einleuchtend: Jeder, der die Daten zwischenzeitlich im Besitz hat, kann die auch verändern.

Stelle sich die Frage nach dem Warum. In der Theorie könnte sich ein Witzbold den Spaß machen, und einfach alle „a“s durch „b“s ersetzen – nur darum geht es nicht. Denn leider sind Witzbolde in den betrachteten Situationen nicht unterwegs – Kriminelle aber schon. Und die verändern keine Buchstaben, sondern fügen den Transportierten Daten gerne Schadsoftware hinzu: So enthält dann eine harmlos wirkende Webseite von einem Hersteller dem man vertraut plötzlich ein Programm das den eigenen Rechner angreift. Und zwar nicht, weil der vertraute Hersteller dieses Programm von seinem Server tatsächlich ausliefert, sondern weil das vom Angreifer „unterwegs“ in die Daten reingeschmuggelt wird.

Klingt nach Science Fiction oder James Bond? Passiert aber tatsächlich – und zwar täglich. Von Angreifern übernommene Router sind keine theoretischen Gedankenspiele, sondern ganz normale Praxis.

Und genau da setzt SSL an: Weil die Daten verschlüsselt sind können Sie auch von Außenstehenden nicht verändert werden – und darum können diese Angreifer auch keinen Schadcode hinzufügen, denn auch das Hinzufügen von Daten ist natürlich eine Änderung.

Lange Rede kurzer Sinn: SSL verschlüsselte Webseiten schützen den Besucher davor, willkürlichen Angriffen ausgesetzt zu werden. Dass die transportierten Daten dabei von Dritten nicht lesbar sind, ist nur ein netter Nebeneffekt.

Mein Rat: Nicht SSL-verschlüsselte Webseiten grundsätzlich meiden.