SSL für die.de Webseiten


Thomas Wölfer
Thomas Wölfer

24. August 2015


Unsere Webseiten (auf den Servern www.die.de und blogs.die.de ) sind ab sofort (eigentlich schon ab dem 20.08) auch per HTTPS erreichbar. Wenn man also statt

https://www.die.de

https://www.die.de

eingibt, bekommt man die gleiche Seite. Für den Besucher ist der einzige Unterschied, eine leicht markierte Adresszeile. Im Edge (Der Browser von Windows 10) sieht das dann so aus:

Ohne “s”

Mit “s”

Bei anderen Browsern ist das ähnlich. So sieht das zum Beispiel im Chrome (mit https) aus:

Das “S” im Namen des Protokolls steht für “Secure”. HTTPS bedeutet also “Hypertext Transfer Protocol Secure”.

Nun ist es ja so, das die Inhalte auf unseren Webseiten nicht gerade geheim sind – darum stehen die Dinge ja gerade auf öffentlichen Webseiten. Das einzige was vielleicht einigermaßen schützenswert ist, ist ‘vielleicht’ das Passwort der Foren-Benutzer. Aber ehrlich gesagt: So Turbo-Wichtig ist das Passwort für unser Webforum nun auch wieder nicht.

Was soll also die Sache mit der “Sicherheit”?

Wie immer, wenn es um IT-Sicherheit geht, ist das ganze etwas kompliziert, schwierig zu erklären – und hat weit gehende Konsequenzen. Ich versuche es trotzdem mal einfach….

 

Prinzipiell ist es so, das mit den übertragenen Daten bei einer Verbindung über HTTPS 2 Dinge passieren: Zum einen werden die Daten verschlüsselt, zum anderen ist in die Verschlüsselung ein Mechanismus eingebaut, der das verändern der Daten während der Übertragung verhindert. Die Verschlüsselung ist prima für Passworte und Suchbegriffe – ein “Lauscher”, also eine Person die die Daten zwischen dem Webbrowser und dem Server mithören kann, ist dann nicht mehr in der Lage diese Passworte aus dem Datenverkehr zu extrahieren. Und es können einen ganze Menge Leute mithören:

  • Jeder, der sich im gleichen WIFI Netz befindet.
  • Jeder, der sich auch nur in der Nähe des WiFi Netzes befindet. (Völlig egal ob es sich um ein “sicheres” WiFi Netz handelt oder nicht – die “Sicherheit” von WiFi Netzen ist ausschließlich juristischer Art: Technisch gesehen sind die Dinger ohne besonders großen Aufwand zu knacken, und zwar immer, und auch von “Anfängern”.)
  • Jeder, der sich am gleichen Kabelnetz befindet. Also z.b. der Kollege im anderen Zimmer, der den gleichen Router verwendet.
  • Jeder, der in den verwendeten Router eingedrungen ist und den infiziert hat – und das werden immer mehr.
  • Jeder, dem der Router gehört. (Mal angenommen, sie sitzen mit dem Laptop in einem Kaffee, am Flughafen, im Bahnhof, oder sonst wo. Dann wollen Sie ins Internet und suchen nach einem Hotspot. Und der wird auch angeboten: Sind Sie sicher, das der auch sauber ist? Wenn ja – warum eigentlich ?)
  • Die komplette Technik aller beteiligten Internet-Anbieter. Also die, Ihres eigenen Anbieters, die des Anbieters, über den den besuchte Server angeschlossen ist, und alle, die dazwischen sind.
  • Es gibt bestimmt noch mehr, aber das Problem ist an dieser Stelle wohl grundsätzlich klar….

Im Fall von unseren Webserver sind das ja nun wie gesagt keine besonders geheimen Daten, die da übertragen werden. Man kann sich also auf den Standpunkt stellen, die Verschlüsselung wäre da nicht so wichtig. (Dieser Standpunkt wäre aus meiner Sicht zwar falsch, aber die zugehörige Diskussion ist für die weitere Betrachtung irrelevant.)

Der interessante Teil ist der, bei dem sichergestellt wird, das die Daten nicht verändert werden können. Denn jeder aus der obigen Liste der Mithörer ist auch ein Kandidat fürs verändern der gelieferten Daten: Sie rufen also zum Beispiel www.die.de auf und erwarten die Startseite unseres Server zu erhalten. Und die erhalten Sie auch – nur hat irgendwer zwischendrin irgendwas zusätzliches reingefummelt – zum Beispiel ein Script, das zunächst Ihren Browser und dann Ihre Rechner angreift. Von Ihrer lokalen Festplatte aus, denn Sie haben es ja selbst runtergeladen. Oder etwas schlimmer: Sie laden einen Download von www.die.de herunter – und der Mann in der Mitte verändert das Programm so, das er auch einen Teil von seinem Programm einschmuggelt. Das Sie dann über den ganz normalen Installer mit installieren… (Unsere Programm sind dagegen zwar mit einer digitalen Signatur geschützt, aber es ist sicherlich besser, schon beim Transport sicherzustellen, das sie nicht verändert werden können.)

Lange Rede kurzer Sinn: Das “S” beim HTTPS führt dazu, das Sie unsere Webseite besuchen können, ohne sich über derartige Probleme sorgen machen zu müssen. In dem Zusammenhang noch ein wichtiger Hinweis: Wenn Sie mit dem Laptop oder Tablett öfter mal einen öffentlichen Hotspot verwenden: Mein Rat wäre, dabei keine Seiten aufzurufen, die nicht per HTTPS erreichbar sind. (Und Sie arbeiten ja hoffentlich auch nie mit einem Admin-Konto, oder ? [Jaja – ist mir klar das Sie das doch tun: Ich hab Sie aber gewarnt ]),

 

* Dieser Beitrag wurde aufgezeichnet. Thomas ist gerade in Urlaub