Aber sicher!

Verschlüsselt surfen mit HTTPS Everywhere und PassSec+

Praxis & Tipps | Praxis

Ihr Webbrowser spricht mit den Seiten, die Sie ansurfen, verschlüsselt – aber leider nur im Idealfall. Ein paar einfache Mittel schützen nicht nur Ihre Privatsphäre, sondern warnen auch vor Angriffen auf Ihr Bankkonto und Ihre Online-Einkäufe.

Eigentlich sollte es für Betreiber von Webseiten zum guten Ton gehören, alle Inhalte über eine verschlüsselte Verbindung zum Besucher zu übertragen. Manchmal sprechen durchaus triftige Gründe dagegen – zum Beispiel Werbeanbieter, die keine Verschlüsselung unterstützen. In einigen Fällen werden ganze Internet-Sites wahlweise unverschlüsselt oder verschlüsselt angeboten. Letzteres erkennt man daran, dass vor der eigentlichen Adresse das Präfix https:// steht.

Überall, bitte!

Um Websites grundsätzlich gesichert abzurufen, müssten Sie vor deren Adressen von Hand „https://“ eintippen, denn: Nicht jeder Betreiber, der auch eine verschlüsselte Übertragung anbietet, leitet Ihren Browser automatisch zum gesicherten Angebot.

Das Plug-in HTTPS Everywhere gibt es auf dem PC für die Browser Chrome, Firefox und Opera. Entwickelt wurde es von der Electronic Frontier Foundation (EFF), die auch die Let’s-Encrypt-Kampagne mitinitiiert hat. Es nimmt Ihnen die Handarbeit ab: Sie tippen URLs wie gewohnt ohne https:// in die Adresszeile ein; falls sich die Seite auch verschlüsselt abrufen lässt, leitet das Plug-in automatisch auf die sichere Verbindung um. Klicken Sie innerhalb der Seiten auf Links, landen Sie immer bei der https-Seite – egal, ob der ursprüngliche Link dorthin geführt hätte oder nicht.

HTTPS Everywhere greift auf eine umfangreiche Liste von Websites zurück, die verschlüsselt erreichbar sind. Sie wird von der EFF laufend gepflegt. Anwender müssen sich weder um die Aktualisierung der Liste noch um die Funktion des Plug-ins kümmern – alles geschieht automatisch im Hintergrund.

Das Plug-in steht für alle drei Browser im jeweiligen Erweiterungs-Store unter dem Menüpunkt „Erweiterungen“ zur Installation bereit. Einfacher ist es, den direkten Installations-Link auf der Homepage der EFF zu klicken (siehe c’t-Link). Die Seite erkennt automatisch, welchen Browser Sie verwenden, und führt mit wenigen Klicks durch die Installation des Plug-ins.

PassSec+

HTTPS Everywhere leitet stets auf verschlüsselte Verbindungen, wenn die Seitenbetreiber eine anbieten. Das ändert allerdings nichts daran, dass es noch viele unverschlüsselte Webseiten gibt – mitunter sogar welche, auf denen Sie zum Login Benutzername und Passwort eingeben sollen. Geben Sie auf einer solchen Webseite Ihre Login-Daten ein, werden auch diese unverschlüsselt übertragen und Angreifer können diese mitlesen.

Das Plug-in PassSec+ hilft Ihnen dabei, an dieser Stelle keine Fehler zu machen. Zur Zeit ist es nur für Firefox zu haben. PassSec+ prüft, wie das Passwort einer Login-Seite übertragen wird, und färbt das Eingabefeld passend ein. Falls sich die Seite mit einem EV-Zertifikat ausweisen kann – also mit einem Zertifikat, das der Inhaber nur nach detaillierter Prüfung seiner Identität bekommt – , umgibt das Feld ein grüner Rahmen, begleitet von einem grünen Schloss. So sollte es bei einer Bank oder bei PayPal immer aussehen.

Hat die Zertifizierungsstelle die Identität des Anbieters einer verschlüsselten Seite nur automatisch geprüft, rahmt PassSec+ das Passwortfeld gelb ein. Bevor Sie dort Ihr Kennwort eingeben, fordert Sie das Plug-in dazu auf, die URL zu prüfen: Passt die angezeigte Adresse im Browser zu der Seite, auf der Sie sich gerade wähnen? Sobald Sie das bestätigen, färbt sich der Rahmen grün.

Passwortfelder auf unverschlüsselten Seiten hebt PassSec+ deutlich in Rot hervor. Das Plug-in wird Sie letztlich nicht daran hindern, in gelb oder rot markierte Felder Ihre Login-Daten einzugeben – die deutliche Warnung und die angezeigten Erklärungen halten Sie aber davon ab, Fehler zu machen.

Das Plug-in wurde von der „Forschungsgruppe SECUSO – Security, Usability and Society“ an der TU Darmstadt entwickelt und steht auf deren Webseite zum Download bereit (siehe c’t-Link). Beim Klick auf den Link am Ende der Seite bietet Firefox direkt an, das Plug-in zu installieren – der weitere Vorgang entspricht dem für HTTPS Everywhere.

Vertrauen ist gut …

… aber Kontrolle ist besser. Wenn Sie auf Internetseiten mit wichtigen Login-Daten wie etwa einem Mail-Passwort oder Ihrer PIN fürs Online-Banking hantieren, möchten Sie nicht nur sicherstellen, dass die Verschlüsselung funktioniert, sondern auch, dass Ihr Browser wirklich mit Ihrer Bank redet.

Gängige Browser zeigen Informationen zur Verschlüsselung und zum verwendeten Zertifikat an. In Chrome und Firefox zeigt ein Klick auf die Weltkugel beziehungsweise das Schloss links neben der Adresse an, ob mit der Identität der Website alles stimmt. Wenn nicht, hat das oft banale Ursachen wie ein abgelaufenes Zertifikat oder ein gültiges, das aber nicht zur angesurften Adresse passt. Allerdings kann es auch auf einen Angriff hindeuten.

In solchen Fällen fehlt der Beweis für die Echtheit einer Seite, weshalb der Browser statt der gewünschten Website einen Warnhinweis einblendet. Darin steht, warum die Echtheit der Seite nicht überprüfbar ist und der Zugriff blockiert wird.

Meistens zeigen solche Warnmeldungen auch eine Option, die Seite trotz aller Sicherheitsbedenken zu besuchen – lassen Sie die Finger davon! Die Funktion ist ausschließlich Sonderfällen vorbehalten, die etwa in firmeninternen Netzen vorkommen. Doch selbst dort gilt: Fragen Sie den IT-Verantwortlichen Ihrer Firma, ob die Sicherheitswarnung wirklich normal ist! Gerade in Firmennetzwerken kann hinter einer solchen Warnung auch ein Angriff von Kriminellen oder Spionen stecken, die sich die Sorglosigkeit eines Mitarbeiters zunutze machen wollen. (jss@ct.de)

Artikel kostenlos herunterladen

weiterführende Links

Kommentare

Artikelstrecke
Anzeige
Anzeige