Diskretion im Web mit https

Vertraulich und unverfälscht

Natürlich erwarten Sie, dass ein Passwort, das Sie in den Web-Browser eingeben auf ihrem Weg durchs Internet nicht belauscht werden. Sie möchten sich auch darauf verlassen, dass die Daten so ankommen, wie sie gesendet wurden und nicht etwa das Empfängerkonto bei der Überweisung geändert wurde. Für all das sorgt das “secure” hypertext transfer protocol, https.

Das hat aber nur dann einen Sinn, wenn Ihr Browser Ihre Geheimnisse nicht wohlverschlüsselt dem Falschen zusendet. Um das zu vermeiden, weist sich ein Server mit einem sogenannten “Zertifikat” aus. Doch wie gehen Sie sicher, dass alles in Ordnung ist?

Schloss zu - alles gut?


Viele glauben: „Wenn das Scloss zu ist, ist alles in Ordnung.“ Das ist etwas zu kurz gedacht, Folgendes ist noch zu beachten, wenn Sie Vertrauliches (wie zum Beispiel ein Passwort) zu einer Website schicken möchten:

  • Klären Sie, welchen Domainnamen das Service benutzt. Bei der Uni Wien ist das zum Beispiel univie.ac.at – geben Sie bitte Ihr u:account-Passwort auf keinen anderen Seiten als univie.ac.at ein!
  • Rufen Sie die Seite vorzugsweise über die Bookmarks oder Ihre Startseite auf, dann können Sie nicht durch ähnlichlautende Adressen in die Irre geführt werden.
  • Achten Sie auf das Schlosssymbol. Es muss geschlossen sein. Viele Seiten haben auch ein grünes Feld, das den Namen der Institution zeigt, erforderlich ist das aber nicht.
  • Achten Sie auf den URL (die Adresse). Der Teil zwischen https:/\/ und dem nächsten / (Schrägstrich) muss im Domainnamen (z.B. univie.ac.at enden. Manche Browser zeigen https:/\/ nicht an, wenn danach nichts mehr steht, entfällt auch der finale “/”. Wir erklären das an einigen Beispielen:
URL (Adresse)Gut?Begründung
https://www.univie.ac.at/xyz/abc.htmlGuthttps und domain endet in univie.ac.at
http://www.univie.ac.at/xyz/abc.htmlNeinhttp ohne s
https://www.univie.at/xyz/abc.htmlNeinunivie.at statt univie.ac.at
https://abc@sthg.univie.ac.at/xyz/abc.htmlGuthttps und domain endet in univie.ac.at
https://sght.univie.ac.at@abc.def.com/xzy/abc.htmlNeindomain endet auf abc.def.com
https://www.unvie.ac.atNeinunvie statt univie
  • Bedenken Sie: Nur der URL (Adresse) ist ausschlaggebend. Gefälschte Seiten sehen dem Original nicht täuschend ähnlich, sondern sie sehen völlig gleich aus.
  • Gibt es eine Zertifikatswarnung, sollten Sie sie ernst nehmen. Idealerweise sollten Sie die Seite verlassen, zumindest geben Sie dort weder ein Passwort noch schützenswerte Daten ein. (Falls Sie einen Server an der Uni Wien betreiben, erhalten sie übrigens die Zertifikate kostenfrei)

Fazit 

Die Sicherung von Verbindungen im Browser mit „https“ ist wahrscheinlich das verbreitetste und einfachste Einsatzgebiet von Kryptographie. Dennoch ist es notwendig, dabei einige Regeln zu kennen und zu beachten.
PS: Das Wort „secure“ in https bedeutet keineswegs „frei von Viren“ oder „nur ehrliche Leute hier“, sondern verschlüsselt und gegen Manipulation gesichert.

 

Zurück zu den Anwendungen der Kryptographie

KontaktFeedback