Browsersicherheit und TLS – wie geht „sicher“ richtig?

Browsersicherheit, grünes Schloss, HTTPS, SSL, TLS, Serverzertifikate

„Browsersicherheit: Grünes Schloss heißt noch lange nicht sicher“. Unter dieser Überschrift berichtet heise online über die Gefahren, die sich hinter dem Verschlüsselungssymbol in der Browserzeile verbergen können. Doch anstatt die Verwirrung vieler Anwender aufzulösen und Lösungen anzubieten, schürt dieser Fachartikel entgegen der sonstigen Gewohnheit Verunsicherung und Angst. Und das können wir so nicht unkommentiert stehen lassen.

Welche Bedeutung hat das „grüne Schloss“?

In dem besagten Artikel geht es vordergründig darum, dass ein grünes Schloss in der Adresszeile keine Sicherheit garantiert. Diese altbekannte Tatsache ist nicht nur bei heise sondern auch in anderen Fachpublikationen nachzulesen. Doch dann bleibt der Artikel eher flach, denn er beschäftigt sich ausschließlich mit der Phishing-Problematik. Hier stellt der Author lapidar fest, dass auch 50% aller Phishing-Seiten gerne HTTPS einsetzen und dass das „grüne Schloss“ deshalb keine Garantie für eine vertrauenswürdige Webseite ist. Ja klar, aber die Frage, wie wir uns als User trotzdem schützen und sicher sein können, beantwortet der Artikel leider nicht. Dabei geht es eigentlich genau um diese Zusammenhänge, die zwar nicht leicht zu erklären sind, aber über deren Kenntnis sich der Anwender aus seiner Verunsicherung befreien könnte. Das wollen wir jetzt nachholen:

Die wichtigsten Zusammenhänge im Überblick

Grünes Schloss – was heisst das?

Ein grünes Schloß in der Browserzeile bedeutet, dass die besuchte WebSite ein TLS-Zertifikat verwendet, dessen Ausgeber dem Browser bekannt ist. Das gibt zwar keine  100%ig vertrauenswürdige Sicherheit, aber immerhin findet die Übertragung verschlüsselt statt und irgendjemand steht dahinter.

Zertifikatsausgabe – was wird dabei geprüft?

Jedenfalls nicht, ob der Server sicher betrieben wird. Auch nicht die Geschäftstätigkeit, das Vorleben oder irgendeine andere qualitative Eigenschaft des Beantragenden. Das heisst: keine Garantie für Irgendetwas.

Verwirrung durch unvollständige Aussagen

Oft finden Sie in den Dokumentationen und Fachartikeln über die Begriffe Browsersicherheit, Verschlüsselung und Zertifikate widersprüchliche Aussagen. Die einen behaupten, dass ein grünes Schloss Sicherheit bedeute. Oder dass „Verschlüsselung“ für „Sicherheit“ steht. Doch alle diese Aussagen stehen irgendwo zwischen unvollständig, fehlerhaft bis komplett falsch. Das kommt daher, dass die technischen Hintergründe entweder nicht verstanden oder unzulässig verkürzt dargestellt werden.

Technischer Hintergrund im Schnelldurchlauf

Die Basisanwendung für Verschlüssung ist SSL. Standardmässig verwendet wird OpenSSL. Es handelt sich hierbei um eine frei verfügbare Open Source Implementierung der Verschlüsselungsprotokolle SSL und TLS. HTTPS verwendet genau diese Protokolle, um Inhalte von Webseiten während der Übertragung zu verschüsseln. Theoretisch reicht das schon für die sichere Übertragung. Aber damit die Sache auch glaubwürdig ist, gibt eine dritte Organisation (CA = Certificate Authority) auf Antrag einer „berechtigten“ Person oder Organisation dafür ein Zertifikat aus.

Drei Zertifikatsklassen

Hier gibt es drei Varianten, wie die Identität dieser Person oder Organisation überprüft wird. Je nach Gründlichkeit bzw. Tiefe der Überprüfung nennt man die Zertifikatsklassen Class1, Class2 und Class3.