Firefox und Chrome geh\u00f6ren zu den beliebtesten Browsern. Beide gehen anders mit HTTPS\u00a0um. Deshalb gehen wir heute der Frage nach, wie Sie feststellen k\u00f6nnen, ob Ihre Verbindung zu einer Website verschl\u00fcsselt erfolgt.<\/p>\n
SSL\/TLS-Zertifikate existieren in drei unterschiedlichen Validierungsstufen: Domainvalidiert (DV), organisationsvalidiert (OV) und Extended Validation (EV). Die Unterschiede dieser drei Stufen haben wir Ihnen bereits im Er\u00f6ffnungsbeitrag<\/a> unserer Serie „Aus dem verschl\u00fcsselten N\u00e4hk\u00e4stchen“ erkl\u00e4rt. Bitte lesen Sie daf\u00fcr den Absatz „Die L\u00f6sung: h\u00f6her validierte SSL-Zertifikate<\/a>„.<\/p>\n Um die Unterschiede aufs Wesentliche herunter zu brechen: F\u00fcr DV-Zertifikate, wie sie bereits zuhauf kostenfrei angeboten werden, best\u00e4tigen Zertifikats-Inhaber per E-Mail lediglich den Zugriff auf die Domain. Bei OV-Zertifikaten wird zus\u00e4tzlich die Identit\u00e4t des Unternehmens gepr\u00fcft und bei \u00a0EV-Zertifikaten wird nach dem h\u00f6chsten und aktuellsten Sicherheitsstandards authentifiziert.<\/p>\n Die logische Folge dieser Tatsache ist einfach. Je h\u00f6her ein Zertifikat validiert ist, umso sicherer k\u00f6nnen sich Website-Besucher der Identit\u00e4t des Zertifikate-Inhabers sein. Online-Banking betreiben oder shoppen funktioniert relativ unbek\u00fcmmert.<\/p>\n Google legt seinen Fokus seit geraumer Zeit auf Website-Verschl\u00fcsselung.\u00a0Schon in 2014 k\u00fcndigte der Suchmaschinenriese an<\/a>, verschl\u00fcsselte Websites besser ranken zu lassen als vergleichbare Websites ohne Verschl\u00fcsselung. Google sieht HTTPS also als Qualit\u00e4tsmerkmal einer Website.<\/p>\n Gleichzeitig m\u00f6chte Google die Verbraucherseite ebenfalls f\u00fcr das Thema Verschl\u00fcsselung sensibilisieren. Damit wurde bereits begonnen und ab Januar 2017 wird Google diese Darstellung versch\u00e4rfen. Derzeit gilt:<\/p>\n Anfang September k\u00fcndigte Google in seinem Blog an<\/a>, weitere Optimierungen in der Darstellung vorzunehmen. Das rote „X“, welches derzeit verschl\u00fcsselte Seiten anzeigt, auf denen etwas nicht stimmt, wird k\u00fcnftig (ab Januar 2017, wenn die Version 56 des Browsers erscheint) auch bei unverschl\u00fcsselten Sites Einsatz finden.<\/p>\n Google argumentiert unseres Erachtens sinnvoll: Zu viele Warnungen w\u00fcrden User verwirren, das blanke Fehlen eines Sicherheitssymbols sei jedoch kein Anlass zur Sorge. Deshalb sollen neue Symbole warnen \u2013 wie das rote Warndreieck, das schon jetzt f\u00fcr falsch konfigurierte HTTPS-Sites eingesetzt wird.<\/p>\n Ab Januar soll Chrome zun\u00e4chst einmal vor Sites warnen, die zwar Passw\u00f6rter und\/ oder Kreditkarteninformationen abfragen, jedoch keine HTTPS-Verschl\u00fcsselung nutzen. Einige Releases sp\u00e4ter wird Google Chrome jene Websites als unsicher markieren, die auf Verschl\u00fcsselung verzichten.<\/p>\n Mit einem kleinen Trick k\u00f6nnen Sie diese Warnungen schon jetzt aktivieren:\u00a0Rufen Sie die Einstellungsseite chrome:\/\/flags auf, navigieren Sie sich zum Punkt „Nicht sicheren Urpsrung als nicht sicher markieren“<\/a>\u00a0und w\u00e4hlen Sie diesen Punkt aus. Nach einem Browser-Neustart k\u00f6nnen Sie die Funktion unter Mac OS X, Windows, Linux, Android sowie Chrome OS bereits nutzen.<\/p>\n Nach wie vor werden Seiten, die mittels Extended Validation sehr umfassend und aufwendig in ihrer Identit\u00e4t best\u00e4tigt sind, mit einer gr\u00fcnen Adressleiste hervorgehoben. Auch der Firmenname taucht mit in der Adressleiste auf, sodass Sie als Websitebesucher gleich sehen, mit wem Sie es zu tun haben.<\/p>\n Bei OV- und DV-Zertifikaten ist die Optik leider gebremst: Sie sehen lediglich ein Vorh\u00e4ngeschloss zur Information, dass die Site verschl\u00fcsselt ist.<\/p>\n Mozilla erkl\u00e4rt in seinem Support-Bereich, wie Sie feststellen k\u00f6nnen, ob eine Verbindung verschl\u00fcsselt erfolgt:<\/p>\n Wie Sie sehen, unterscheiden Chrome und Firefox verschieden. Mozilla spricht dreimal von gemischten Inhalten einer Site bzw. davon, Inhalte nicht zu laden. Dies kann beispielsweise dann passieren, wenn ein Websitebetreiber seine Site eigentlich verschl\u00fcsselt, aber beispielsweise einem Werbenetzwerk angeschlossen ist, welches Banner als HTTP-Inhalte ausgibt.<\/p>\n Mozilla nennt solche Inhalte dann „gemischte Inhalte“: die Site ist eigentlich verschl\u00fcsselt, Teile von ihr, in unserem Beispiel die Werbung, jedoch nicht. Das kann zur Folge haben, dass Angreifer die HTTP-Anteile der Website auslesen k\u00f6nnen. Die Website erscheint sicher, ist es jedoch nicht.<\/p>\n So w\u00e4re es einem Angreifer etwa m\u00f6glich, HTTP-Inhalte auf der von Ihnen besuchten Site auszutauschen, um Ihre Login-Informationen sowie pers\u00f6nliche Informationen wie Ihre Adresse oder Ihre Kreditkarteninformationen zu stehlen. Auch gel\u00e4nge es dem Angreifer, Schadsoftware auf Ihrem Rechner zu installieren.<\/p>\n Der Hashalgorithmus SHA-1 ist veraltet und damit unsicher. W\u00e4hrend Google Chrome bereits seit geraumer Zeit symbolisch davor warnt, dauert dies bei Mozilla Firefox noch ein wenig. Ein rotes Warndreieck und ein durchgestrichenes HTTPS in der Adressleiste zeigen mit Chrome bereits jetzt Seiten, die veraltete SHA-1-Zertifikate einsetzen. Firefox wird erst ab Januar 2017 davor warnen.<\/p>\n Alles Wissenswerte \u00fcber die Umstellung von SHA-1 auf SHA-2 sowie \u00fcber den Nachfolger SHA-3 lesen Sie bitte in diesem Beitrag<\/a> nach. Darin erkl\u00e4ren wir auch, wie die Browser ab wann warnen werden.<\/p>\n Haben wir Ihnen heute gezeigt, wie Chrome und Firefox HTTPS und das Fehlen von (guter) Verschl\u00fcsselung darstellen, befassen wir uns kommende Woche mit genereller Browser-Sicherheit: welche Features bieten Google Chrome, Mozilla Firefox, der Internet Explorer bzw. Edge und Opera? Gerade beim letzten gibt es spannende Neuerungen!<\/p>\n Jetzt allerdings sind Sie dran: welchen Browser nutzen Sie? Warum diesen? Waren es Sicherheits- oder Komfort-Entscheidungen, die Sie zu Ihrem Browser gef\u00fchrt haben? Wie sinnvoll empfinden Sie die Darstellungen zu HTTPS bei Chrome und Firefox? Sollte da mehr gehen oder sind die (geplanten) Darstellungen ausreichend? Kommen Sie mit uns ins Gespr\u00e4ch \u2013 wir freuen uns \u00fcber Ihre Meinung!<\/strong><\/p>\nGoogle Chrome warnt vor unverschl\u00fcsselten Sites<\/h3>\n
\n
Google m\u00f6chte Darstellung optimieren<\/h3>\n
Zeitplan: so setzt Google die \u00c4nderungen um<\/h3>\n
HTTPS: Darstellungen in Mozilla Firefox<\/h3>\n
\n
Gemischte Inhalte bei Firefox<\/h3>\n
Chrome warnt auch vor SHA-1<\/h3>\n
Browsersicherheit: bald ein Thema von uns<\/h3>\n