„Diese Seite ist nicht vertrauenswürdig.“

ie_untrusted Wer kennt sich schon technisch wirklich aus, wie das Internet funktioniert? Was darf man, soll man, was nicht? Die meisten Programme sind voll von irreführenden und undurchsichtigen Warnungen und Handlungsempfehlungen, was stimmt nun wirklich?

Dieser Artikel ist dem „normalen“ Internet-Benutzer gewidmet. Es wird die Verschlüsselung von Webseiten und daraus resultierende Vor- und Nachteile beschrieben. Es ist nicht eine langweilige Abhandlung technischer Details für Laien (zumindest nicht mehr als unbedingt notwendig), sondern eine Beschreibung der Zusammenhänge und Hintergründe, um in der Lage zu sein, gewissen Situationen die beim Surfen im Web auftreten können, selbst einschätzen zu können.

Vor kurzem habe ich alle Blogs und Webseiten, die ich betreue, auf starke Verschlüsselung umgestellt, in einfachen Worten bedeutet das, dass diese Seiten ab sofort nur mehr unter https:// aber nicht mehr unter http:// (ohne ‘s’) erreichbar sind. Das hat leider bei manchen Benutzern zu Verwirrung geführt, in erster Linie deshalb, weil sie plötzlich irritierende Warnungen vom Browser bekommen haben.

firefox_untrustedAber wie funktioniert das Surfen überhaupt?

Der Inhalt einer Seite, also das, was man im Browser sieht, wird nicht auf magische Weise durch das Raum-Zeit-Kontinuum gebeamt, sondern wird durch das Internet über Leitungen vom Server, da wo die Daten gespeichert sind, zum Browser, bei dir daheim, wo die Seite angezeigt wird, übertragen. Jeder, der diesen Übertragungsweg beobachten kann (z.B. Mitarbeiter der Internet Service Provider, Mobilfunkfirmen, Geheimdienste,…), kann daher genau sehen, wer mit wem was austauscht. Das ist damit vergleichbar, wenn man jemand in einer Bar kennenlernt, sich gegenseitig mit Vornamen vorstellt und sich unterhält. Zum einem könnte jeder der beiden einen beliebigen Namen erfinden, zum anderen kann jeder andere Gast in dem Lokal ohne Umstände das Gespräch mithören.

Imperial_Peace_Keeping_Certificate_(Bossk)Was ist nun bei Verschlüsselung anders?

Bei verschlüsselten Webseiten, also solche die über https:// erreichbar sind, wird der Inhalt am Übertragungsweg, d.h. also während die Daten im Internet vom Server zu deinem Browser unterwegs sind, verschlüsselt. Ein Beobachter sieht zwar noch immer wer mit wem kommuniziert, aber nicht mehr was. Bei dieser Verschlüsselung wird zusätzlich sichergestellt, dass man mit dem richtigen Server verbunden ist. Letzteres wird als Zertifikatsprüfung bezeichnet. Das funktioniert so als ob man das oben beschriebene Gespräch in einem abgeschlossen Raum unter vier Augen führt und sich vorm Betreten gegenseitig mit Führerschein oder Reisepass ausweist.

Was bedeutet es nun, wenn der Browser warnt, dass einer Seite nicht vertraut werden könne?

Grund dafür ist, dass die Zertifikatsprüfung nicht erfolgreich durchgeführt werden konnte. Dafür kann es verschiedene Gründe geben. Umgelegt auf die oben genannte Ausweiskontrolle kann das bedeuten, dass der Ausweis abgelaufen ist, dass das Foto nicht mehr übereinstimmt (Bart, Brille,…), oder einfach dass man das Ausweisdokument nicht kennt (Wie sieht ein Pass aus Tatooine aus?). Das alles bedeutet aber nicht automatisch, dass der Ausweis falsch oder sein Besitzer ein Betrüger ist. Und auch wenn dem so sei, findet hinterher trotzdem eine verschlüsselte Übertragung statt, d.h. ein Abhören von außen ist noch immer nicht möglich.

Das absurde daran ist, dass jeder Browser unverschlüsselten Verbindungen ohne Zertifikatsprüfung automatisch vertraut, nicht jedoch gesicherten Verbindungen mit Zertifikatsprüfung, wenn auch nur die geringste Kleinigkeit nicht übereinstimmt, oder nicht überprüft werden kann. Man vertraut also dem unbekannten Typ in der Bar blind, nicht jedoch dem Reisenden der sich ausweisen kann, nur weil wir seinen Heimatplaneten nicht kennen.

Warum ist das so?

Die Zertifikatsprüfung ist zwar prinzipiell sinnvoll, macht allerdings erst richtig Sinn, wenn alle Webseiten im Internet auf Verschlüsselung umgestellt sind. Das ist aber noch lange nicht der Fall. Das einzige, was man in diesem Punkt derzeit als echte Gefahr betrachten sollte, ist wenn Zertifikate von Seiten die unmittelbar mit Geldtransfer oder ähnlich heiklen Dingen handeln (z.B. Telebanking, Paypal, Finanzonline,…) als nicht vertrauenswürdig eingestuft werden.

Fazit

Obwohl die Zertifikatsprüfung und Browserwarnungen prinzipiell einer guten Sachen dienen, ist es dennoch im derzeitigen Entwicklungsstadium des Internet ein verfrühter und noch nicht ganz ausgereifter Mechanismus, der meiner Meinung nach eher irreführend als hilfreich ist. Darüber hinaus sollte man wissen, dass die Zertifikate die von den meisten Browsern standardmäßig akzeptiert werden, deshalb akzeptiert werden, weil die Zertifizierungsstellen (die, die die Zertifikate ausstellen) dafür bezahlt haben.

Verschlüsselte Verbindungen sind immer zu bevorzugen

Als Handlungsempfehlung kann ich geben, dass wenn es die Möglichkeit einer verschlüsselten Verbindung (https://) gibt, so ist diese in jedem Fall einer unverschlüsselten Verbindung vorzuziehen, also auch bei Facebook, Twitter und anderen „harmlos“ erscheinenden Seiten, da man dadurch einer direkten Überwachung und Bespitzelung entgeht. Man schnallt sich im PKW ja auch an, auch wenn man nur zwei Kilometer in den nächste Supermarkt fährt. Vorsicht ist lediglich bei Telebanking und ähnlichen mit Geldtransaktionen verbundenen Seiten geboten, wenn die Zertifikatsprüfung fehlschlägt. Als Webbrowser würde ich derzeit eine aktuelle Version von Google Chrome oder Firefox ans Herz legen.