Diskretion im Web mit https
Die Sicherung von Verbindungen im Browser mit https ist wahrscheinlich das verbreitetste und einfachste Einsatzgebiet von Kryptografie. Dennoch ist es notwendig, dabei einige Regeln zu kennen und zu beachten.
Vertraulich und unverfälscht
Wenn Sie ein Passwort in den Browser eingeben, erwarten Sie mit Recht, dass es auf seinem Weg durch das Internet nicht abgefangen wird. Sie möchten sich auch darauf verlassen, dass die Daten so ankommen, wie sie gesendet wurden. Für all das sorgt das secure hypertext transfer protocol, kurz https.
Das hat aber nur dann einen Sinn, wenn der Browser Ihre Geheimnisse nicht wohlverschlüsselt dem Falschen zusendet. Um das zu vermeiden, weist sich ein Server mit einem Zertifikat aus. Doch wie gehen Sie sicher, dass alles in Ordnung ist?
Schloss zu, alles gut?
Viele glauben: „Wenn das Schloss in der Browserzeile geschlossen ist, ist alles in Ordnung.“ Das ist etwas zu kurz gedacht. Folgendes ist zu beachten, wenn Sie Vertrauliches (wie zum Beispiel ein Passwort) zu einer Webseite schicken möchten:
- Klären Sie, welchen Domainnamen das Service benutzt. Bei der Universität Wien ist das zum Beispiel
.univie.ac.at. Geben Sie Ihr u:account-Passwort nur auf Seiten mit.univie.ac.atein. - Rufen Sie die Seite vorzugsweise über die Bookmarks oder Ihre Startseite auf, dann können Sie nicht durch ähnlich lautende Adressen in die Irre geführt werden.
- Achten Sie auf das Schloss-Symbol. Es muss geschlossen sein. In manchen Browsern müssen Sie auf das Symbol links neben der Adresse klicken, um das Schloss anzeigen zu lassen.
- Achten Sie auf die URL (die Adresse). Der Teil zwischen https:// und dem nächsten Schrägstrich muss mit dem Domainnamen (beispielsweise
.univie.ac.at) enden. Manche Browser zeigen https:// nicht an. Wenn danach nichts mehr steht, entfällt auch der finale Schrägstrich. - Nur die URL ist ausschlaggebend. Gefälschte Seiten sehen dem Original nicht täuschend ähnlich, sondern sie sehen völlig gleich aus.
- Zertifikatswarnungen sollten Sie ernst nehmen. Idealerweise sollten Sie die Seite verlassen. Geben Sie auf der Seite jedenfalls weder ein Passwort noch schützenswerte Daten ein.
Beispiele
| URL (Adresse) | Gut? | Begründung |
|---|---|---|
https://www.univie.ac.at/xyz/abc.html | Ja | https, Domain endet mit .univie.ac.at |
http://www.univie.ac.at/xyz/abc.html | Nein | http ohne s |
https://www.univie.at/xyz/abc.html | Nein | Domain lautet .univie.at statt .univie.ac.at |
https://abc@sthg.univie.ac.at/xyz/abc.html | Ja | https, Domain endet mit .univie.ac.at |
https://sght.univie.ac.at@abc.def.com/xyz/abc.html | Nein | Domain endet mit abc.def.com |
https://www.unvie.ac.at | Nein | Domain lautet .unvie.ac.at statt .univie.ac.at |