„Browsersicherheit: Grünes Schloss heißt noch lange nicht sicher“. Unter dieser Überschrift berichtet heise online über die Gefahren, die sich hinter dem Verschlüsselungssymbol in der Browserzeile verbergen können. Doch anstatt die Verwirrung vieler Anwender aufzulösen und Lösungen anzubieten, schürt dieser Fachartikel entgegen der sonstigen Gewohnheit Verunsicherung und Angst. Und das können wir so nicht unkommentiert stehen lassen.
Welche Bedeutung hat das „grüne Schloss“?
In dem besagten Artikel geht es vordergründig darum, dass ein grünes Schloss in der Adresszeile keine Sicherheit garantiert. Diese altbekannte Tatsache ist nicht nur bei heise sondern auch in anderen Fachpublikationen nachzulesen. Doch dann bleibt der Artikel eher flach, denn er beschäftigt sich ausschließlich mit der Phishing-Problematik. Hier stellt der Author lapidar fest, dass auch 50% aller Phishing-Seiten gerne HTTPS einsetzen und dass das „grüne Schloss“ deshalb keine Garantie für eine vertrauenswürdige Webseite ist. Ja klar, aber die Frage, wie wir uns als User trotzdem schützen und sicher sein können, beantwortet der Artikel leider nicht. Dabei geht es eigentlich genau um diese Zusammenhänge, die zwar nicht leicht zu erklären sind, aber über deren Kenntnis sich der Anwender aus seiner Verunsicherung befreien könnte. Das wollen wir jetzt nachholen:
Die wichtigsten Zusammenhänge im Überblick
Grünes Schloss – was heisst das?
Ein grünes Schloß in der Browserzeile bedeutet, dass die besuchte WebSite ein TLS-Zertifikat verwendet, dessen Ausgeber dem Browser bekannt ist. Das gibt zwar keine 100%ig vertrauenswürdige Sicherheit, aber immerhin findet die Übertragung verschlüsselt statt und irgendjemand steht dahinter.
Zertifikatsausgabe – was wird dabei geprüft?
Jedenfalls nicht, ob der Server sicher betrieben wird. Auch nicht die Geschäftstätigkeit, das Vorleben oder irgendeine andere qualitative Eigenschaft des Beantragenden. Das heisst: keine Garantie für Irgendetwas.
Verwirrung durch unvollständige Aussagen
Oft finden Sie in den Dokumentationen und Fachartikeln über die Begriffe Browsersicherheit, Verschlüsselung und Zertifikate widersprüchliche Aussagen. Die einen behaupten, dass ein grünes Schloss Sicherheit bedeute. Oder dass „Verschlüsselung“ für „Sicherheit“ steht. Doch alle diese Aussagen stehen irgendwo zwischen unvollständig, fehlerhaft bis komplett falsch. Das kommt daher, dass die technischen Hintergründe entweder nicht verstanden oder unzulässig verkürzt dargestellt werden.
Technischer Hintergrund im Schnelldurchlauf
Die Basisanwendung für Verschlüssung ist SSL. Standardmässig verwendet wird OpenSSL. Es handelt sich hierbei um eine frei verfügbare Open Source Implementierung der Verschlüsselungsprotokolle SSL und TLS. HTTPS verwendet genau diese Protokolle, um Inhalte von Webseiten während der Übertragung zu verschüsseln. Theoretisch reicht das schon für die sichere Übertragung. Aber damit die Sache auch glaubwürdig ist, gibt eine dritte Organisation (CA = Certificate Authority) auf Antrag einer „berechtigten“ Person oder Organisation dafür ein Zertifikat aus.
Drei Zertifikatsklassen
Hier gibt es drei Varianten, wie die Identität dieser Person oder Organisation überprüft wird. Je nach Gründlichkeit bzw. Tiefe der Überprüfung nennt man die Zertifikatsklassen Class1, Class2 und Class3.
Class1 bestätigt lediglich die Domain bzw. die Subdomain. Class2 bestätigt den Namen der Person oder Organisation nach einer Ausweis- oder HRG-Prüfung. Class3 bestätigt wie Class2, allerdings mit ausführlicherer Prüfung. Der Haken an der Sache ist, dass jede CA den Prüfungs-Aufwand für ihre Zertifikate selbst bestimmt. Das heisst, es gibt keine allgemeingültigen, verbindlichen Regelungen, wie die Authentifizierung abzulaufen hat. Das „grüne Schloß“ in der Browserzeile bedeutet in Punkto Browsersicherheit nur, dass ein von einer CA ausgestelltes Zertifikat vorliegt. Nicht mehr und nicht weniger.
Falsche Annahmen zur Browsersicherheit
Anwendern wird (leider auch in dem genannten Fachartikel) suggeriert, Browser würden die WebSite prüfen oder irgendwie für deren Sicherheit verantwortlich sein. Dem ist nicht so, und das ist auch gut so. Denn niemand möchte ernsthaft, dass MS, Google, Apple oder ähnliche Kandidaten die Qualität unserer WebSites oder unserer Unternehmen bewerten. Obwohl sie dies natürlich trotzdem stets versuchen.