Artikel aus Aktuelles

• [18.12.2016]  Warum bieten wir kein https an?

  Https war an sich ei­ne gu­te Idee. Wenn man dem Aus­s­tel­ler des Zer­ti­fi­kats ver­traut, kann man si­cher sein, dass man es mit dem rich­ti­gen Ser­ver zu tun hat, und der Da­ten­ver­kehr ist ver­schlüs­selt. Nicht schlecht, denkt man erst mal. Dann ist es für Schnüff­ler schwie­ri­ger nach­zu­voll­zie­hen, was ich mir im Web an­schaue, und es ist schwie­ri­ger, mir heim­lich ge­fälsch­te Sei­ten un­ter­zu­schie­ben.

  Lei­der wur­de die­ser gu­te Ge­dan­ke per­ver­tiert. Der­je­ni­ge, der grundsätz­lich am ver­trau­ens­wür­digs­ten ist, näm­lich der Be­trei­ber der Sei­te, kann zwar selbst ein Zer­ti­fi­kat aus­stel­len und durch wei­te­re In­for­ma­tio­nen si­cher­stel­len, dass die­ses Zer­ti­fi­kat zum Ser­ver gehört¹, aber im­mer mehr In­fra­struk­tur­be­trei­ber (z.B. Fir­men) blo­cken die­se selbst si­gnier­ten Zer­ti­fi­ka­te. Sie sind es ge­wohnt, Drit­ten mehr zu ver­trau­en als den ei­gent­li­chen Sei­ten­be­trei­bern. Drit­te sind in die­sem Fall Fir­men, die Geld mit der Aus­s­tel­lung von Ser­ver­zer­ti­fi­ka­ten ver­die­nen, schon beim Schum­meln auf­ge­fal­len sind und ge­hackt wur­den. Egal. Was kos­tet, muss gut sein, und die Re­vi­si­on fand schließ­lich so­was auch im­mer gut – wie die Vi­rens­can­ner, von de­nen kei­ner weiß, was sie ge­nau tun, und die schon öf­ter durch Si­cher­heits­lü­cken auf­ge­fal­len sind.

  Nach und nach ziehen auch die Browserhersteller mit und legen selbst nicht nur fest, was gut ist und was eine Warnung² wert ist, sondern schaffen nach und nach die Wahlfreiheit des Nutzers einfach ab. Das Zertifikat passt dem Browser nicht, er tanzt dem Nutzer auf der Nase herum und weigert sich, die Seite zu laden.

  Da­her las­sen wir die­se Il­lu­si­on³ der Si­cher­heit, wie sie htt­ps bie­tet, ein­fach sein, zu­mal sie in un­se­rem Fall nicht nötig ist. Wir agie­ren nicht an­onym, und wir möch­ten das auch von un­se­ren Le­sern. Die­se sol­len un­se­re Sei­ten nicht heim­lich le­sen, son­dern sich über die Lärm­kon­zen­tra­ti­on be­schwe­ren, und da­zu soll­te man sei­nen Na­men an­ge­ben, wenn man ernst­ge­nom­men wer­den will.

  Wir hal­ten es we­gen der Be­vor­mun­dung der Nut­zer im htt­ps-Um­feld für durch­aus wahr­schein­lich, dass die Ver­schlüs­se­lung ir­gend­wann per Ja­vas­cript ge­macht wer­den wird, um den gan­zen Sperr­wahn­sinn von Zer­ti­fi­ka­ten zu um­ge­hen. Nicht dass wir das gut fin­den, aber htt­ps ist ka­putt­ge­macht wor­den.

  ---

  1. Z.B. durch Veröf­fent­li­chung des sog. Fin­ger­prints an an­de­rer Stel­le bzw. der Veröf­fent­li­chung sei­nes Stamm­zer­ti­fi­kats, mit dem er das Ser­ver­zer­ti­fi­kat un­ter­schrie­ben hat.
  2. War­nun­gen der Art „Das Zer­ti­fi­kat passt nicht zum Ser­ver­na­men“ oder „Das Zer­ti­fi­kat ist ab­ge­lau­fen” sind eben­falls ei­ne gu­te Idee. Es darf aber nie pas­sie­ren, dass dem Nut­zer die Wahl­mög­lich­keit „Weiß ich, ist ok, la­de die Sei­te trotz­dem!“ vor­ent­hal­ten wird.
  3. Nicht we­ni­ge In­fra­struk­tur­be­trei­ber bre­chen htt­ps-Ver­bin­dun­gen eh auf, da­mit ih­re Schlan­gen­öl­soft­wa­re („Vi­ren­scan­ner“) rein­schau­en kann – in der Hoff­nung, al­te Vi­ren zu fin­den, die es in die Si­gna­tur­da­ten­bank ge­schafft ha­ben. Mit Ver­trau­lich­keit ist dann eh nichts mehr.

  Twitter/X

Zum Archiv mit allen Artikeln