archiv:tut:basics:ssl

Fix-Me

Dieser Artikel befindet sich möglicherweise nicht auf dem aktuellen Stand der Technik und muss überprüft bzw. überarbeitet werden.

Das sichere Surfen im Netz

tutname=Das sichere Surfen im Netz|tutautor=[[:PsyCore]]|tutversion=1.0|tutquelle=tut:basics:ssl

Gefahren lauern überall und das besonders im Internet. Wir surfen die meisten Seiten ohne Nennenswerte Schutzmaßnahmen an. Rein technisch gesehen, ist es ein leichtes, solche Datenpakete mitzuschneiden und auch zu lesen. Um dieses zu verhindern, setzen Seiten von Banken etc. sogenannte sichere Verbindungen ein. Was sind denn sichere Verbindungen? Diese werden wie gewohnt über den Browser hergestellt, aber über TLS bzw. SSL verschlüsselt. Hier geht es nun eben um diese Verschlüsselung, und wie man erkennt, dass diese zustande gekommen ist.

Bevor wir uns diesem Thema widmen, sollten wir erstmal sicher stellen, dass Windows über den nötigen Grundschutz verfügt.

Wie erkenne ich nun, dass die Webseite, auf der ich mich gerade registrieren will, meine Daten verschlüsselt sendet? Es gibt ein paar Kriterien, die für eine sichere Verbindung erfüllt sein müssen. Das erste sollte sein, das Protokoll zu prüfen. Hört sich schwieriger an, als es ist:

  1. Wir schauen auf die Adressleiste des Browsers
  2. falls dort kein http: oder https: angezeigt wird klicken wir einmal in die Adressleiste
  3. Nun sollte der komplette Link sichtbar sein

Das Standard Protokoll wäre http, wir wollen aber eine sichere Verbindung also muss das Protokoll https sein. Es sollte in etwa so aussehen:

Das erste Merkmal ist also geprüft: Wir benutzen das richtige Protokoll.

Die weiteren Merkmale befassen sich mit Zertifikaten und die Unterschiede dieser.

Eine sichere Verbindung

Nun prüfen wir das Zertifikat, ob der Browser dies akzeptiert oder nicht. Dazu klicken wir (beim Firefox), links neben der Adressleiste, auf den blau bzw. grün gefärbten Bereich. Wir bekommen ein Fenster ähnlich diesem hier:

Wir sehen anhand der Informationen, für wen das Zertifikat ausgestellt wurde, und dass die Verbindung sicher ist. Dies ist der Grundschutz, der beim senden von privaten Daten vorhanden sein sollte. Das Abhören der Verbindung wird hiermit verhindert. Doch das reicht bei gewissen Anwendungen nicht, wie wir im nächsten Kapitel sehen werden.

Eine vertrauenswürdige Verbindung

Manche Daten sind so sensibel, dass wir nicht dadrauf vertrauen können, einfach nur eine sichere Verbindung zu haben. Wir müssen sicher sein, dass die Webseite wirklich die ist, für die sie sich ausgibt. Hier greifen vertrauenswürdige Verbindungen.

Diese erkennen wir anhand des grünen Balkens innerhalb der Adresszeile. Bei Firefox z.B. sieht dies so aus:

Diese Art von Zertifikaten nennt man auch, EV-Zertifikat. Diese sind zur Zeit eine recht sichere Methode zur Autentifizierung von Webseiten und wird meist beim Online-Banking eingesetzt. Diese Zertifikate sind im Erwerb relativ teuer, und somit seltenst bei kleineren Online Shops anzutreffen.

Die viele Theorie ist oftmals erschlagend und somit sollte man sich folgende Fragen stellen, wenn eine Internetseite aufgerufen wird, die sensible Daten übertragen könnte:

  1. Ist der Link der Seite korrekt? (Phisher verfälschen die Domain sehr gerne)
  2. Benutzt die Seite ein Zertifikat, zum Senden von sensiblen Daten?
  3. Ist dieses Zertifikat dem Zweck entsprechend? (Banken benutzen nur EV-Zertifikate)
  4. Bringt der Browser beim Prüfen des Zertifikats einen Fehler? (z.B. nicht mehr gültig etc.)

Handelt es sich um kleinere Online Shops gilt:

  1. Lesen der Bewertungen auf unabhängigen Bewertungsportalen
  2. Hat der Shop ein Impressum und valide Kontaktinformationen?
  3. Hat der Shop eine Umsatzsteuer ID?
  4. Gibt es Verlinkungen zu diesem Shop, aus vertrauensvollen Quellen?

Hält man sich an die Tipps aus dem Praxistest, kann man schon sehr sicher ausschließen, was sichere Seiten sind und was nicht. Wichtig ist es, Augen und Ohren offen zu halten, und sich bewusst zu sein, was für Gefahren das Internet beherbergt.

  • archiv/tut/basics/ssl.txt
  • Zuletzt geändert: 2024/01/28 12:53
  • von psycore