Anmelden
x
x
x
Registrieren
x

Downloads
Suche - SP Page Builder
Suche - Kategorien
Suche - Kontakte
Suche - Inhalt
Suche - Newsfeeds
Suche - Schlagwörter
    Aktuelle Seite:  
  1. Startseite
  2. Sicherheit
  3. HTTPS, SSL, TLS
  4. HTTPS - Ja oder Nein?

HTTPS, SSL, TLS

HTTPS - Ja oder Nein?

HTTPS, Secure Socket Layer, SSL, TLS
Rating:
( 0 Rating )
Stern inaktivStern inaktivStern inaktivStern inaktivStern inaktiv
 
Inhaltsverzeichnis[Anzeigen]

Es hat seine Gründe, warum seit Jahren weltweit Milliarden von Euro investiert werden, um alle Anbieter und Anwender zu HTTPS zu zwingen:

  • Wer an die Philanthropie der Akteure glaubt, und daran, dass Sie alles nur aus selbstloser Nächstenliebe zum ach so schützenswerten armen Kunden tun, darf dies gern weiterhin tun. Aber alle besitzen knallharte irdische Motive und versprechen sich davon massive Vorteile für sich selbst.
  • Der derzeit größte Akteur Google sprang erst vor einigen Jahren auf den seit weit über einem Jahrzehnt lahmenden Gaul Verschlüsselung. Google macht dies wie immer ganz geschickt. Im Geheimen werden alle eigenen Systeme auf einen völlig frei definierten hauseigenen Standard umgerüstet, danach dies publiziert und sofort allen Nutzern mitgeteilt, dass ab nun dieser eigene Standard zu erfüllen ist, damit man bei Google noch erfolgreich oben gelistet wird. So schädigt man alle Mitbewerber, da diese (wie der Hase) immer hinterherrennen müssen, und Google immer voraus ist. - Früher wurde so etwas als Monopolmissbrauch scharf geahndet.
  • Die Finanzwirtschaft (Banken, Versicherungen, Kreditkartenfirmen etc.) setzen auf diesen Standard, da sie damit eine Beweislastumkehr durchsetzen können. Sobald das Internet sicher ist, wird der betrogene Kunde beweisen müssen, dass nicht er selbst seine Daten kompromittiert hat. Das wird ihm als technischer Laie kaum gelingen. Und die technisch oft wenig bewanderten Richter werden sich definitiv die Sache einfach machen und für den vermeintlich sicheren Standard votieren.
  • Die Zeitungen und Zeitschriften, Nachrichtensender, Newsportale etc. befürworten HTTPS, damit sie endlich wieder Ihre alte Meinungs- und Deutungshoheit über alle Ereignisse zurückgewinnen, gegen die wesentlich schnelleren und kritischeren Privatauftritte. Denn in ihren Augen steht s für seriös. Dies wird im Übrigen von den Suchmaschinenbetreibern begünstigt, da sie inzwischen deren Nachrichten höher bewerten als die der Privatanbieter ohne HTTPS. - Die sonst oft verfeindeten Akteure arbeiten somit in diesem Punkt Hand in Hand.
  • Die Regierungen, Sicherheitsdienste und supranationalen Organisationen sind dafür, da sie so die Bürger leichter kontrollieren können. Ein seit langer Zeit geknackter Code, den die meisten für sicher halten, verleitet die unbedarften Nutzer dazu, im falschen Glauben unverhohlen ihre Sicht der Dinge zu schreiben. Vor allem mit den bald folgenden privaten Zertifikaten für alle Nutzer steht dann der Totalkontrolle Tür und Tor offen.
  • Bei den privaten Zertifikaten im Browser jedes Nutzers kommt auch die gesamte Wirtschaft mit ins Boot, da sie nun endlich die ständige und völlige Kontrolle über den Kunden erhält. Während man Cookies löschen, Browser-Kennungen verändern, Betriebssysteme vortäuschen und die IP wechseln oder verschleiern kann, sogar die Maschinenkennung des Computers kann man meist noch verändern, kann man ein mit seinem Personalausweis verifiziertes persönliches Zertifikat im Browser, das als zwingende Eintrittskarte in das zukünftige Internet erforderlich wird, nicht ändern. So freuen sich alle am endlich gläsernen Kunden, der immer und überall und das über viele Jahre hinweg (die Laufzeit des privaten Zertifikates) mit jedem Detail, jedem Mausklick und jedem eingegebenen Buchstaben ausgewertet werden kann.

 

Vorsätzliche Falschaussagen

 

Viele Akteure schrecken auch vor gezielten Falschinformationen nicht zurück.

 

  • Der von HTTPS-Befürwortern gerne angeführte Schutz vor Zensur ist nachweislich falsch.
    • In der Theorie kann HTTPS die Sicherung der Integrität gewährleisten. D.h., dass die vom Nutzer empfangenen Daten mit den vom Server ausgesendeten übereinstimmen.
    • HTTPS schützt jedoch - auch im optimalsten Fall - nicht vor Zensur. Staatliche Stellen und auch die Suchmaschinenbetreiber besitzen ganz andere (rechtlich erlaubte sowie weniger erlaubte) Mittel, um unerwünschte Inhalte unzugänglich zu machen.
    • Im Übrigen verwechseln die meisten Menschen Zensur mit Ihrem angeblichen Recht auf Meinungsfreiheit. Selbst in demokratischen Rechtsstaaten existiert ein Zensurverbot nur gegenüber offiziell zugelassenen Presseorganen. Aber selbst bei denen reicht oft ein Anruf, damit sie Selbstzensur üben.
    • Im Übrigen ist die Kollisionsfreiheit der Hash-Funktionen, welche für die Identitätsprüfung innerhalb von HTTPS notwendig ist, bereits so oft widerlegt worden, dass man festhalten muss, dass sie nicht funktioniert.
    • Sogenannte Intrusion-Prevention-Systeme, die zahlreiche Firmen verwenden, können z.B. den Inhalt auch bei HTTPS-Verbindungen filtern. D.h. sie können die angeblich so sicheren Inhalte lesen und bei Bedarf ggf. säubern - trotz HTTPS. Jeder Nutzer darf beruhigt davon ausgehen, dass die jeweiligen nationalen Sicherheitsdienste sowie alle daran interessierten Provider und sonstige Firmen dafür gesorgt haben, dass deren Proxys für solche legalen Man-in-the-middle-Eingriffe zertifiziert sind und in den Browser-Listen als vertrauenswürdig geführt werden.
    • In Klartext bedeutet dies für den Empfänger, dass er leider nicht sicher sein kann, wirklich das Originaldokument vor sich zu haben.
  • HTTPS soll die mobile Nutzung des Internets mit Smartphone sicherer machen, weil Funknetze angeblich noch leichter abgehört werden können als Kabel. Abgesehen davon, dass Funknetze per se keineswegs unsicherer sind als Kabelnetze, stellen beide für Hacker kein Hindernis dar, da es um das sowieso generell unsichere Protokoll Internet geht. Aber das Problem liegt hier eher am Front-End = dem Nutzer. Wer in der U-, S-Bahn oder im Bus (Bank-) Geschäfte erledigt und dabei personenbezogene Daten eingibt, darf sich nicht wundern, wenn andere das rein optisch mitlesen oder mit deren Smartphone filmen.
  • Vor allem kommerzielle Provider, welche daran viel Geld verdienen oder sogar als Zertifizierungsstelle arbeiten, behaupten rechtlich völlig unhaltbare Dinge:
    • Ein SSL-Zertifikat ist zum Beispiel notwendig, wenn Sie einen Onlineshop betreiben und beim Checkout-Prozess Daten wie die Lieferadresse oder Zahlungsmittel vom Kunden abfragen. Oder wenn Sie auf Ihrer Website ein Kontaktformular für Interessenten anbieten, in das diese Namen und E-Mail-Adresse eintragen können. (Quelle: 1und1)
    • Wenn sich Benutzer auf Ihrer Website anmelden, persönliche Daten, wie Kreditkartennummern, online eingeben oder vertrauliche Daten, wie Krankenkassenleistungen oder Kontodaten eingeben müssen, müssen Sie die Geheimhaltung dieser Daten gewährleisten. Zudem müssen Sie dafür sorgen, dass sich Ihre Kunden die Authentizität Ihrer Website bestätigen lassen können. (Quelle 1und1) Auch diese beiden Behauptungen sind im Zusammenhang mit SSL, TLS oder HTTPS falsch.
    • Es finden sich keinerlei Gesetze oder Vorschriften, die SSL oder TLS oder HTTPS verlangen.
  • Da Letzteres dennoch immer wieder von interessierten Kreisen behauptet wird, hier einmal die angeblichen Fundstellen, auf die sich diese Mindermeinung bezieht:
    • Angeblich ist das Bayerische Landesamt für Datenschutzaufsicht (LDA Bayern) der Ansicht, dass Webseitenbetreiber die Übertragung sensibler Kundendaten mittels Kontaktformularen verschlüsseln müssen.
    • Die einen Rechtsanwälte berufen sich dabei auf ein im September 2014 vom Bayerischen Landesamt für Datenschutzaufsicht (BayLDA) anlasslos durchgeführten Test von E-Mail-Servern von Unternehmen im Freistaat auf Verschlüsselung. Rechtliche Folgen hatte er nicht. Und es ging um E-Mail-Server, nicht um Webauftritte oder Kontaktformulare etc.
    • Ende 2015 verschickte dasselbe Landesamt erneut Briefe an Shop-Betreiber. Danach wurde es ruhig.
    • Die anderen Rechtsanwälte, welche so etwas behaupten, beziehen sich dabei direkt auf das Bundesdatenschutzgesetz (BDSG) § 9 Technische und organisatorische Maßnahmen
    • Öffentliche und nicht-öffentliche Stellen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes, insbesondere die in der Anlage zu diesem Gesetz genannten Anforderungen, zu gewährleisten. Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.
    • Vor allem wird der letzte Satz gerne weggelassen: Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.
    • Bundesdatenschutzgesetz (BDSG - alt) Anlage (zu § 9 Satz 1). Dort fand sich bis 24.05.2018 in Absatz
    • 4. zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle),
    • Kein Wort von SSL, kein Wort von Verschlüsselung des gesamten Auftrittes etc. Ganz im Gegenteil bezieht sich dieser Satz auf ganz andere Dinge der Datensicherheit.
    • Und selbst die geldgierigen Abmahnbranche hat sich bisher bezüglich SSL nur an bestimmte kleine Shop-Betreiber herangewagt, die man sowieso gnadenlos wegen jeder Bagatelle glaubt, abmahnen zu können. Amazon und andere waren zu groß und zu mächtig. Die hätten diese Abmahner auch in Grund und Boden geklagt.
    • Folglich gibt es auch keine Urteile zu SSL, nur Mindermeinungen.
  • Manche fanatischen Vertreter von HTTPS verbreiten gerne, dass man keine Seite im Internet mehr anklicken darf / soll, die nicht über HTTPS verfügt. Das ist völlig übertriebene Panikmache.
  • Fast alle privaten Internet-Seiten besitzen kein HTTPS und benötigen es auch nicht.
  • Die meisten Firmen benötigen für ihre Informations- und Werbeseiten kein HTTPS. Es kann jedoch aus Image-Gründen hilfreich sein - sofern es wirklich sicher ist. Ansonsten erzeugt es leicht das gegenteilige Image.

 

Zu der ebenso klaren Gesetzteslage gemäß der europäischen DSGVO.

 

Folgen / die Zukunft

 

Dennoch handelt es sich bei HTTPS um einen weltweiten Trend, dem man sich nicht beliebig lange entziehen kann.

 

  • HTTPS ist unaufhaltsam. Spätestens mit dem bereits beschlossenen HTTP/2 wird es zwangsweise weltweit eingeführt.
  • Alle jetzigen Beteuerungen der Befürworter und der Kritiker werden cum grano salis eintreffen:
  • Das Internet wird etwas sicher als heute, indem Kinder und Gelegenheits-/ Laien-Hacker es schwerer haben werden, im Internet die aktuell laufende Online-Verbindung abzuhören.
  • Personen mit Geld, welche sich Spezialisten kaufen können, Sicherheitsdienste sowie Verbrecher werden jedoch weiterhin direkten Zugriff auf Ihre Daten besitzen.
  • Weder werden die Anzahl der Internet-Verbrechen (Cyber-Crime) noch deren finanzielles Ausmaß abnehmen.
  • Viele privaten Anbieter von Informationen werden sich die zeit- und geldaufwändige Umstellung Ihrer alten Internet-Auftritte auf HTTPS nicht leisten können und zwangsweise schließen. Diese Marktbereinigung ist durchaus von vielen derzeitigen HTTPS-Befürworten und Akteuren gewünscht. Folglich wird die Meinungsvielfalt im Internet drastisch abnehmen.
  • Das Internet wird für Anbieter und Nutzer noch teurer. Denn nicht nur die Umstellung, sondern auch der Betrieb einer etwas sichereren Architektur kostet weltweit betrachtet unglaubliche Summen.
  • In Deutschland wird aufgrund der Hysterie der daran interessierten Medien und der daran verdienenden Meinungsmacher kombiniert mit der Leichtgläubigkeit der Nutzer sowie der typisch deutschen panischen Angst vor angeblichen Gefahren alles viel früher umgesetzt werden als in anderen Ländern.
  • Es wird zum Bio-Label des Internets kommen: So wie viele Deutsche Bio kaufen, weil Bio draufsteht, so werden sie auch dem S in HTTPS blind vertrauen. Gleichgültig, dass inzwischen viele Institute nachgewiesen haben, dass die Unterschiede bei Vitaminen, Nährstoffen und Belastungen in Bio-Produkten im Vergleich zu klassischen oft innerhalb der üblichen Messtoleranzen liegen, und andere Kritiker darauf hinweisen, dass in Deutschland mehr Bio-Produkte angeboten werden als in Deutschland und manchmal sogar in ganz Europa angebaut werden. Dieser Etikettenschwindel funktioniert auch im Internet: Grüne Browser-Zeile = sicher. - Deshalb wage ich sogar die Prognose, dass die Leichtgläubigen zukünftig noch leichter auf das HTTPS-Etikett Sicher blind hereinfallen werden, und die Zahl der Betrugsfälle sogar zunehmen wird.
  • Bis zur zwangsweisen Einführung von Verschlüsslungen im Internet wird es jedoch bereits mittelfristig zur Zweiklassengesellschaft kommen, in der die reichen und mächtigen Meinungsmacher bei den Suchmaschinen dank HTTPS bevorzugt und alle ärmeren Kritiker ohne das S benachteiligt bis hin zu faktisch mundtot gemacht werden, indem man sie ganz unten oder überhaupt nicht mehr auflistet.
  • Wer als Privatanbieter HTTPS einsetzt, wird dies entweder teuer bezahlen müssen oder schlichtweg technisch kaum perfekt einrichten können und dann sein blaues (Entschuldigung: natürlich grünes) Wunder erleben. Die langen Antwort- und Ladezeiten werden die Nutzerzahlen absenken. Fehlalarme (mit gelber oder roter Farbe sichtbar in der Browser-Zeile) und ständige Anzeigen der Zertifikate sowie das manuelle Bestätigen derselben durch den Nutzer vergraulen jeden. Auch so werden unliebsame Privatanbieter vertrieben.
  • Was jedoch bisher kaum besprochen und von Nutzern gesehen wird, sind die privaten Zertifikate der Nutzer. Diese sind bereits seit Jahren in allen mir bekannten Browsern aktiv vorgesehen.
    • Google Chrome: (Symbol rechts oben:) Google Chrome anpassen und einstellen; Einstellungen; Erweitert; Zertifikate verwalten, HTTPS/SSL-Zertifikate und -Einstellungen; Erweitert; Clientauthentifizierung.
    • Firefox: (Symbol rechts oben:) Menü öffnen; Datenschutz und Einstellungen; Zertifikate; Wenn eine Website nach dem persönlichen Sicherheitszertifikat verlangt.
    • Microsoft Edge: vom Nutzer nicht einstellbar. Warum wohl? Das regelt Microsoft für Sie vertrauensvoll, wie so oft. Für Netzwerkadministratoren.
    • Opera: Menü (links oben); Einstellungen; HTTPS/SSL, Zertifikate verwalten...; Erweitert; Clientauthentifizierung
    Für die Browser-Hersteller ist dieses schon lange vorgesehene vollständig integrierte Modul mit einem minimalen Aufwand auf verpflichtend zu setzen. Und dann benötigen alle Nutzer ein privates Zertifikat, um überhaupt noch das Internet nutzen zu dürfen.
  • Bisher bereits laufende Anwendungen verlangen von privaten Nutzern dann eine im Zertifikat eingebrannte E-Mail-Adresse und den Klarnamen des Nutzers.

 

Wir bemühen uns, ihnen alle Informationen zu bieten, sichere und angenehme Zeiten im Internet zu verbringen. Dazu gehören neben grundsätzlichen Tipps vor allem Hinweise zum richtigen Umgang mit diesem für viele neuen Medium.

KURZ URL

Oft ist eine URL lang und nur sehr schwer zu merken (z.B. Downloads). Mit dem Short URL Service erstellt man schnell eine einprägsame und aussagekräftige URL mit vielen Extras!

HAL9k btnFly2 ShortURL

HTACCESS GENERATOR

Eine korrekte .htaccess von Hand zu erstellen ist recht mühsam und zeitaufwendig. Mit dem .htaccess Generator lässt sich diese Aufgabe schnell und zuverlässig online erledigen!

HAL9k btn.htaccess Generator

Search