Firefox & Chrome: so stellen Browser HTTPS dar
Firefox und Chrome gehören zu den beliebtesten Browsern. Beide gehen anders mit HTTPS um. Deshalb gehen wir heute der Frage nach, wie Sie feststellen können, ob Ihre Verbindung zu einer Website verschlüsselt erfolgt.
Wozu ist die Validierung wichtig?
SSL/TLS-Zertifikate existieren in drei unterschiedlichen Validierungsstufen: Domainvalidiert (DV), organisationsvalidiert (OV) und Extended Validation (EV). Die Unterschiede dieser drei Stufen haben wir Ihnen bereits im Eröffnungsbeitrag unserer Serie „Aus dem verschlüsselten Nähkästchen“ erklärt. Bitte lesen Sie dafür den Absatz „Die Lösung: höher validierte SSL-Zertifikate„.
Um die Unterschiede aufs Wesentliche herunter zu brechen: Für DV-Zertifikate, wie sie bereits zuhauf kostenfrei angeboten werden, bestätigen Zertifikats-Inhaber per E-Mail lediglich den Zugriff auf die Domain. Bei OV-Zertifikaten wird zusätzlich die Identität des Unternehmens geprüft und bei EV-Zertifikaten wird nach dem höchsten und aktuellsten Sicherheitsstandards authentifiziert.
Die logische Folge dieser Tatsache ist einfach. Je höher ein Zertifikat validiert ist, umso sicherer können sich Website-Besucher der Identität des Zertifikate-Inhabers sein. Online-Banking betreiben oder shoppen funktioniert relativ unbekümmert.
Google Chrome warnt vor unverschlüsselten Sites
Google legt seinen Fokus seit geraumer Zeit auf Website-Verschlüsselung. Schon in 2014 kündigte der Suchmaschinenriese an, verschlüsselte Websites besser ranken zu lassen als vergleichbare Websites ohne Verschlüsselung. Google sieht HTTPS also als Qualitätsmerkmal einer Website.
Gleichzeitig möchte Google die Verbraucherseite ebenfalls für das Thema Verschlüsselung sensibilisieren. Damit wurde bereits begonnen und ab Januar 2017 wird Google diese Darstellung verschärfen. Derzeit gilt:
- keine Verschlüsselung: Eine Website ohne SSL/TLS-Verschlüsselung erkennen Sie an einem weißen Blatt in der Adressleiste. Ein Klick auf das kleine Info-Symbol verrät Ihnen: „Die Verbindung zu dieser Seite ist nicht sicher.“
- wenn etwas mit der SSL-Verschlüsselung nicht stimmt: Ist etwas mit der Verschlüsselung einer Site nicht in Ordnung, zeigt Chrome ein rotes „X“ an. Eine Verschlüsselung ist also grundsätzlich vorhanden, jedoch in ihrer Sicherheit beeinträchtigt.
- sichere SSL/TLS-Verschlüsselung: Erkennt der Browser hingegen, dass die Site effizient verschlüsselt ist, erkennen Sie das an einem grünen Schloss. Nutzt der Zertifikate-Inhaber zusätzlich noch ein EV-Zertifikat, verschlüsselt also in höchster Validierung, so färbt sich die Adressleiste grün.
Google möchte Darstellung optimieren
Anfang September kündigte Google in seinem Blog an, weitere Optimierungen in der Darstellung vorzunehmen. Das rote „X“, welches derzeit verschlüsselte Seiten anzeigt, auf denen etwas nicht stimmt, wird künftig (ab Januar 2017, wenn die Version 56 des Browsers erscheint) auch bei unverschlüsselten Sites Einsatz finden.
Google argumentiert unseres Erachtens sinnvoll: Zu viele Warnungen würden User verwirren, das blanke Fehlen eines Sicherheitssymbols sei jedoch kein Anlass zur Sorge. Deshalb sollen neue Symbole warnen – wie das rote Warndreieck, das schon jetzt für falsch konfigurierte HTTPS-Sites eingesetzt wird.
Zeitplan: so setzt Google die Änderungen um
Ab Januar soll Chrome zunächst einmal vor Sites warnen, die zwar Passwörter und/ oder Kreditkarteninformationen abfragen, jedoch keine HTTPS-Verschlüsselung nutzen. Einige Releases später wird Google Chrome jene Websites als unsicher markieren, die auf Verschlüsselung verzichten.
Mit einem kleinen Trick können Sie diese Warnungen schon jetzt aktivieren: Rufen Sie die Einstellungsseite chrome://flags auf, navigieren Sie sich zum Punkt „Nicht sicheren Urpsrung als nicht sicher markieren“ und wählen Sie diesen Punkt aus. Nach einem Browser-Neustart können Sie die Funktion unter Mac OS X, Windows, Linux, Android sowie Chrome OS bereits nutzen.
Nach wie vor werden Seiten, die mittels Extended Validation sehr umfassend und aufwendig in ihrer Identität bestätigt sind, mit einer grünen Adressleiste hervorgehoben. Auch der Firmenname taucht mit in der Adressleiste auf, sodass Sie als Websitebesucher gleich sehen, mit wem Sie es zu tun haben.
Bei OV- und DV-Zertifikaten ist die Optik leider gebremst: Sie sehen lediglich ein Vorhängeschloss zur Information, dass die Site verschlüsselt ist.
HTTPS: Darstellungen in Mozilla Firefox
Mozilla erklärt in seinem Support-Bereich, wie Sie feststellen können, ob eine Verbindung verschlüsselt erfolgt:
- sichere Verbindung: Sehen Sie ein grünes Sperrschloss, ist die Verbindung als sicher anzusehen. Sie sind mit der Website verbunden, die in der Adressleiste zu sehen ist. Erkennen Sie neben dem grünen Sperrschloss einen Unternehmensnamen, handelt es sich wieder um ein EV-Zertifikat, also um die höchste Validierungsstufe. Sie können auf das Schloss klicken und mehr über den Zertifikate-Inhaber erfahren.
- sichere Seite mit unsicheren Inhalten: Erkennen Sie das grüne Sperrschloss, dieses wird jedoch mit grauem Warndreieck gezeigt, so ist die Seite selbst sicher. Jedoch wurden unsichere Inhalte nicht geladen. Es kann sein, dass Inhalte dadurch unvollständig angezeigt werden oder die Seitenfunktionen eingeschränkt sind. Als Website-Besucher müssen Sie das als gegeben hinnehmen. Sie können es jedoch dem Seitenentwickler mitteilen, damit dieser das Problem beheben kann.
- teilweise Verschlüsselung, nicht abhörsicher: Wird Ihnen ein graues Sperrschloss mit gelbem Warndreieck angezeigt, so ist die Website lediglich teilweise verschlüsselt und nicht abhörsicher – in jedem Fall sollten Sie auf die Eingabe persönlicher Daten verzichten! Auch dieses Problem muss der Entwickler lösen, Sie können ihn lediglich darauf hinweisen.
- teilweise Verschlüsselung, nicht abhörsicher, mögliche MitM-Attacken: Wird Ihnen ein graues Sperrschloss angezeigt, welches rot durchgestrichen ist, ist die Site lediglich teilweise verschlüsselt, dabei nicht abhörsicher und es sind Man-in-the-Middle-Attacken möglich. Auch hier gilt es, Vorsicht walten zu lassen: geben Sie unter keinen Umständen sensible Informationen auf dieser Website ein!
Gemischte Inhalte bei Firefox
Wie Sie sehen, unterscheiden Chrome und Firefox verschieden. Mozilla spricht dreimal von gemischten Inhalten einer Site bzw. davon, Inhalte nicht zu laden. Dies kann beispielsweise dann passieren, wenn ein Websitebetreiber seine Site eigentlich verschlüsselt, aber beispielsweise einem Werbenetzwerk angeschlossen ist, welches Banner als HTTP-Inhalte ausgibt.
Mozilla nennt solche Inhalte dann „gemischte Inhalte“: die Site ist eigentlich verschlüsselt, Teile von ihr, in unserem Beispiel die Werbung, jedoch nicht. Das kann zur Folge haben, dass Angreifer die HTTP-Anteile der Website auslesen können. Die Website erscheint sicher, ist es jedoch nicht.
So wäre es einem Angreifer etwa möglich, HTTP-Inhalte auf der von Ihnen besuchten Site auszutauschen, um Ihre Login-Informationen sowie persönliche Informationen wie Ihre Adresse oder Ihre Kreditkarteninformationen zu stehlen. Auch gelänge es dem Angreifer, Schadsoftware auf Ihrem Rechner zu installieren.
Chrome warnt auch vor SHA-1
Der Hashalgorithmus SHA-1 ist veraltet und damit unsicher. Während Google Chrome bereits seit geraumer Zeit symbolisch davor warnt, dauert dies bei Mozilla Firefox noch ein wenig. Ein rotes Warndreieck und ein durchgestrichenes HTTPS in der Adressleiste zeigen mit Chrome bereits jetzt Seiten, die veraltete SHA-1-Zertifikate einsetzen. Firefox wird erst ab Januar 2017 davor warnen.
Alles Wissenswerte über die Umstellung von SHA-1 auf SHA-2 sowie über den Nachfolger SHA-3 lesen Sie bitte in diesem Beitrag nach. Darin erklären wir auch, wie die Browser ab wann warnen werden.
Browsersicherheit: bald ein Thema von uns
Haben wir Ihnen heute gezeigt, wie Chrome und Firefox HTTPS und das Fehlen von (guter) Verschlüsselung darstellen, befassen wir uns kommende Woche mit genereller Browser-Sicherheit: welche Features bieten Google Chrome, Mozilla Firefox, der Internet Explorer bzw. Edge und Opera? Gerade beim letzten gibt es spannende Neuerungen!
Jetzt allerdings sind Sie dran: welchen Browser nutzen Sie? Warum diesen? Waren es Sicherheits- oder Komfort-Entscheidungen, die Sie zu Ihrem Browser geführt haben? Wie sinnvoll empfinden Sie die Darstellungen zu HTTPS bei Chrome und Firefox? Sollte da mehr gehen oder sind die (geplanten) Darstellungen ausreichend? Kommen Sie mit uns ins Gespräch – wir freuen uns über Ihre Meinung!
Schreibe einen Kommentar