Diskretion im Web mit https

Die Sicherung von Verbindungen im Browser mit https ist wahrscheinlich das verbreitetste und einfachste Einsatzgebiet von Kryptografie. Dennoch ist es notwendig, dabei einige Regeln zu kennen und zu beachten.

 

Vertraulich und unverfälscht

Wenn Sie ein Passwort in den Browser eingeben, erwarten Sie mit Recht, dass es auf seinem Weg durch das Internet nicht abgefangen wird. Sie möchten sich auch darauf verlassen, dass die Daten so ankommen, wie sie gesendet wurden. Für all das sorgt das secure hypertext transfer protocol, kurz https.

Das hat aber nur dann einen Sinn, wenn der Browser Ihre Geheimnisse nicht wohlverschlüsselt dem Falschen zusendet. Um das zu vermeiden, weist sich ein Server mit einem Zertifikat aus. Doch wie gehen Sie sicher, dass alles in Ordnung ist?

Schloss zu, alles gut?

Screenshot – Adresse mit https und Schloss im Browser

Viele glauben: „Wenn das Schloss in der Browserzeile geschlossen ist, ist alles in Ordnung.“ Das ist etwas zu kurz gedacht. Folgendes ist zu beachten, wenn Sie Vertrauliches (wie zum Beispiel ein Passwort) zu einer Webseite schicken möchten:

  • Klären Sie, welchen Domainnamen das Service benutzt. Bei der Universität Wien ist das zum Beispiel univie.ac.at. Geben Sie Ihr u:account-Passwort nur auf Seiten mit univie.ac.at ein.
  • Rufen Sie die Seite vorzugsweise über die Bookmarks oder Ihre Startseite auf, dann können Sie nicht durch ähnlich lautende Adressen in die Irre geführt werden. 
  • Achten Sie auf das Schloss-Symbol. Es muss geschlossen sein. In manchen Browsern müssen Sie auf das Symbol links neben der Adresse klicken, um das Schloss anzeigen zu lassen.
  • Achten Sie auf die URL (die Adresse). Der Teil zwischen https:// und dem nächsten Schrägstrich muss mit dem Domainnamen (beispielsweise univie.ac.at) enden. Manche Browser zeigen https:// nicht an. Wenn danach nichts mehr steht, entfällt auch der finale Schrägstrich.
  • Nur die URL ist ausschlaggebend. Gefälschte Seiten sehen dem Original nicht täuschend ähnlich, sondern sie sehen völlig gleich aus.
  • Zertifikatswarnungen sollten Sie ernst nehmen. Idealerweise sollten Sie die Seite verlassen. Geben Sie auf der Seite jedenfalls weder ein Passwort noch schützenswerte Daten ein. 

Beispiele

URL (Adresse)Gut?Begründung
https://www.univie.ac.at/xyz/abc.htmlJahttps, Domain endet mit univie.ac.at
http://www.univie.ac.at/xyz/abc.htmlNeinhttp ohne s
https://www.univie.at/xyz/abc.htmlNeinDomain lautet univie.at statt univie.ac.at
https://abc@sthg.univie.ac.at/xyz/abc.htmlJahttps, Domain endet mit univie.ac.at
https://sght.univie.ac.at@abc.def.com/xyz/abc.htmlNeinDomain endet mit abc.def.com
https://www.unvie.ac.atNeinDomain lautet unvie.ac.at statt univie.ac.at