Menü
Security

Studie: Warnmeldungen bei SSL-Zertfikaten so gut wie nutzlos

Von
vorlesen Drucken Kommentare lesen 263 Beiträge

Warnungen bei Unstimmigkeiten von SSL-Zertifikaten auf Web-Servern halten Anwender kaum davon ab, eine Webseite zu besuchen, haben Forscher der Carnegie Mellon University herausgefunden. In ihren Beobachtungen hatten mehr als 55 Prozent der Probanden die Warnmeldungen einfach ignoriert und weggeklickt. Neu ist diese Erkenntnis sicher nicht, allerdings haben die Forscher nun offenbar erstmals die Quantität des Problems vermessen.

Demnach ist das Verständnis von Zertifikaten bei den meisten Anwender fundamental falsch. So waren sie bei ihrer Meinung nach vertrauenswürdigen Webseiten bei Fehlermeldungen weniger misstrauisch als bei nicht vertrauenswürdigen. Der Versuch einer Man-in-the-Middle-Attacke bei einer Banking-Seite würde demzufolge weniger Argwohn wecken, als bei einer unbekannten Shopping-Seite. Nach Angaben der Forscher missverstehen viele den Umstand, dass ein Zertifikat nur attestieren soll, auf der richtigen Seite gelandet zu sein. Ob der Betreiber vertrauenswürdig ist, sagt ein SSL-Zertifikat nicht.

Das Problem sei, das Anwender die Fehlermeldungen des Browsers bei Problemen mit dem Zertifikat nicht richtig deuten könnten, etwa wenn ein Zertifikat abgelaufen sei oder die aufgerufene Domain nicht mit der Servernamen im Zertifikat übereinstimmte. Dazu komme, dass derartige Probleme auch immer wieder regulär wegen technischer Fehler aufträten und Anwender gewohnheitsmäßig die Meldungen wegklickten.

Wirklich repräsentativ ist die Studie jedoch nicht. Es wurde nur das Verhalten von 100 Probanden mit verschiedenen Webbrowsern untersucht. Laut Untersuchung hätten dabei Nutzer des Firefox-Browser am wenigsten Warnmeldungen ignoriert, da dieser eine "einfachere" Sprache und bessere Dialoge aufweise. Die Forscher haben daraufhin mit eigenen Warnmeldungen experimentiert. Ihre Ergebnisse wollen sie auf dem kommenden Usenix Security Symposium veröffentlichen. (Daniel Bachfeld) / (dab)