Browsersicherheit und TLS – wie geht „sicher“ richtig?

Browsersicherheit, grünes Schloss, HTTPS, SSL, TLS, Serverzertifikate

„Browsersicherheit: Grünes Schloss heißt noch lange nicht sicher“. Unter dieser Überschrift berichtet heise online über die Gefahren, die sich hinter dem Verschlüsselungssymbol in der Browserzeile verbergen können. Doch anstatt die Verwirrung vieler Anwender aufzulösen und Lösungen anzubieten, schürt dieser Fachartikel entgegen der sonstigen Gewohnheit Verunsicherung und Angst. Und das können wir so nicht unkommentiert stehen lassen.

Welche Bedeutung hat das „grüne Schloss“?

In dem besagten Artikel geht es vordergründig darum, dass ein grünes Schloss in der Adresszeile keine Sicherheit garantiert. Diese altbekannte Tatsache ist nicht nur bei heise sondern auch in anderen Fachpublikationen nachzulesen. Doch dann bleibt der Artikel eher flach, denn er beschäftigt sich ausschließlich mit der Phishing-Problematik. Hier stellt der Author lapidar fest, dass auch 50% aller Phishing-Seiten gerne HTTPS einsetzen und dass das „grüne Schloss“ deshalb keine Garantie für eine vertrauenswürdige Webseite ist. Ja klar, aber die Frage, wie wir uns als User trotzdem schützen und sicher sein können, beantwortet der Artikel leider nicht. Dabei geht es eigentlich genau um diese Zusammenhänge, die zwar nicht leicht zu erklären sind, aber über deren Kenntnis sich der Anwender aus seiner Verunsicherung befreien könnte. Das wollen wir jetzt nachholen:

Die wichtigsten Zusammenhänge im Überblick

Grünes Schloss – was heisst das?

Ein grünes Schloß in der Browserzeile bedeutet, dass die besuchte WebSite ein TLS-Zertifikat verwendet, dessen Ausgeber dem Browser bekannt ist. Das gibt zwar keine  100%ig vertrauenswürdige Sicherheit, aber immerhin findet die Übertragung verschlüsselt statt und irgendjemand steht dahinter.

Zertifikatsausgabe – was wird dabei geprüft?

Jedenfalls nicht, ob der Server sicher betrieben wird. Auch nicht die Geschäftstätigkeit, das Vorleben oder irgendeine andere qualitative Eigenschaft des Beantragenden. Das heisst: keine Garantie für Irgendetwas.

Verwirrung durch unvollständige Aussagen

Oft finden Sie in den Dokumentationen und Fachartikeln über die Begriffe Browsersicherheit, Verschlüsselung und Zertifikate widersprüchliche Aussagen. Die einen behaupten, dass ein grünes Schloss Sicherheit bedeute. Oder dass „Verschlüsselung“ für „Sicherheit“ steht. Doch alle diese Aussagen stehen irgendwo zwischen unvollständig, fehlerhaft bis komplett falsch. Das kommt daher, dass die technischen Hintergründe entweder nicht verstanden oder unzulässig verkürzt dargestellt werden.

Technischer Hintergrund im Schnelldurchlauf

Die Basisanwendung für Verschlüssung ist SSL. Standardmässig verwendet wird OpenSSL. Es handelt sich hierbei um eine frei verfügbare Open Source Implementierung der Verschlüsselungsprotokolle SSL und TLS. HTTPS verwendet genau diese Protokolle, um Inhalte von Webseiten während der Übertragung zu verschüsseln. Theoretisch reicht das schon für die sichere Übertragung. Aber damit die Sache auch glaubwürdig ist, gibt eine dritte Organisation (CA = Certificate Authority) auf Antrag einer „berechtigten“ Person oder Organisation dafür ein Zertifikat aus.

Drei Zertifikatsklassen

Hier gibt es drei Varianten, wie die Identität dieser Person oder Organisation überprüft wird. Je nach Gründlichkeit bzw. Tiefe der Überprüfung nennt man die Zertifikatsklassen Class1, Class2 und Class3.

Class1 bestätigt lediglich die Domain bzw. die Subdomain. Class2 bestätigt den Namen der Person oder Organisation nach einer Ausweis- oder HRG-Prüfung. Class3 bestätigt wie Class2, allerdings mit ausführlicherer Prüfung. Der Haken an der Sache ist, dass jede CA den Prüfungs-Aufwand für ihre Zertifikate selbst bestimmt. Das heisst, es gibt keine allgemeingültigen, verbindlichen Regelungen, wie die Authentifizierung abzulaufen hat. Das „grüne Schloß“ in der Browserzeile bedeutet in Punkto Browsersicherheit nur, dass ein von einer CA ausgestelltes Zertifikat vorliegt. Nicht mehr und nicht weniger.

Falsche Annahmen zur Browsersicherheit

Anwendern wird (leider auch in dem genannten Fachartikel) suggeriert, Browser würden die WebSite prüfen oder irgendwie für deren Sicherheit verantwortlich sein. Dem ist nicht so, und das ist auch gut so. Denn niemand möchte ernsthaft, dass MS, Google, Apple oder ähnliche Kandidaten die Qualität unserer WebSites oder unserer Unternehmen bewerten. Obwohl sie dies natürlich trotzdem stets versuchen.

Für den Anwender heisst dass: Ob die besuchte Website nun mit einem echten Zertifikat ausgestattetet ist und Malware verteilt, oder ob sie tatsächlich die erwarteten wertvollen Inhalte verbreitet, das müssen Sie weiterhin leider (oder zum Glück) selbst herausfinden. Und das wiederum geht ganz einfach: Folgen Sie dem Weg des grünen Schlosses! Klicken Sie es an und folgen Sie den Hinweisen, dann wissen Sie genau, wes Geistes Kind das Zertifikat bzw. der Webseitenbetreiber ist.

Irrglauben durch Wissen ersetzen

Und damit kommen wir zum eigentlichen Kern des Themas Browsersicherheit in Verbindung mit TLS-Zertifikaten. Allen Nutzern, Anwendern, Surfern muss der Irrglaube genommen werden, dass irgendjemand Drittes für das eigene Handeln verantwortlich sei. Die einfache Bedienung des Internets ersetzt auch das (Nach)Denken nicht. Und schon gar nicht Wissen. In der digitalen Welt ist es inzwischen so, wie im öffentlichen Strassenverkehr: Wer sicher durchkommen will, muss wenigstens ein paar grundlegende Kenntnisse der Verkehrsregeln besitzen. Es gibt nur einen Unterschied: der Straßenverkehr tut nicht so, als ob er einfach zu händeln wäre. Hier lässt sich auch nichts einfach mit Wischen oder Klicken erledigen, also warum sollte dies in der noch viel komplexeren, undurchsichtigeren Welt des Internets so sein? Im Gegenteil, Antworten auf normale Fragen sind hier nur selten ganz kurz.

Aus der Welt von „richtig“und „falsch“

Hier zur Abrundung des Themas noch ein paar interessante Quellen:

  • Richtig falsch:
    https://web.de/magazine/in-eigener-sache/https-gruenes-schloss-sicherheit-32038452
  • Nett gemeint:
    https://support.mozilla.org/de/kb/wie-kann-ich-feststellen-ob-meine-verbindung-zu-einer-website-verschluesselt-erfolgt
  • Aha…
    https://blog.avira.com/de/falsche-sicherheit-49-der-scamseiten-nutzen-das-kleine-gruene-ssl-schloss/

Ein Tipp

Der eBusiness Lotse Berlin informiert in seinen Webinaren über SSL / TLS Serverzertifikate regelmässig über den aktuellen Stand der Technik und geht auf aktuelle Sicherheitsproblematiken ein.