HTTPS, SSL, TLS

Aus langjähriger, fundierter Praxiserfahrung im Internet kann man folgendes raten:

• Wer als Nutzer oder Internet-Anbieter:
  • nicht ständig die neueste Betriebssystemsoftware und zusätzlich die dazu gehörenden neuesten Sicherheitsupdates verwendet,
  • nicht ständig die neueste Server-/Browser-Software und zusätzlich die dazu gehörenden neuesten Server-/Browser-Plug-ins verwendet,
  • nicht ständig die neueste Anti-Viren-Software und zusätzlich die mindestens täglich dazu gehörenden neuesten Signatur-Updates verwendet,
  • keine Firewall verwendet, die er sowohl aktiv manuell einstellt und dann auch regelmäßig überprüft, (z.B. die kostenlose Windows 10 Firewall Control - für alle Windows Versionen.)
  • keine Passwörter mit mindestens 10 Stellen gemäß sinnvoller Regeln (z.B. erster oder letzter Buchstabe der Wörter eines langen Satzes) verwendet,
  • nicht mindestens einmal jährlich sämtliche Passwörter erneuert,
  • dafür jedoch kostenlose Software herunterlädt,
  • oder kostenpflichtige Software illegal herunterlädt,
  • oder Filme / Videos oder Musik illegal herunterlädt,
  • jegliche (auch offizielle) Software ohne eindeutige Herstellerzertifikate installiert,
  • Online-Spiel-Casinos nutzt,
  • Online-Spiele spielt,
  • ein Heim- oder Firmennetzwerk mit unterschiedlich konfigurierter Hard- oder Software betreibt,
  • wichtige Seiten (Bank etc.) über (z.B. in E-Mails etc.) vorgegebene Links aufruft, statt die Adressen selbst manuell eintippt (und zwar mit der kompletten sowie korrekten Adresse = HTTPS://www.usw.,
• sollte sich sicherheitstechnisch zuerst um jene Probleme kümmern. HTTPS ist im Vergleich zu jenen Gefahren nachrangig.

Stellen Sie sich wirklich einmal anhand Ihres täglichen Arbeitsablaufes die konkrete Frage, was HTTPS für Ihre Sicherheit erbringt?
Z.B. hätte ein IT-Experte, der sich seit Jahrzehnten berufsbedingt wirklich wesentlich größeren Gefahren im Internet aussetzt als jeder Normalbürger, keinen einzigen der ihm entstandenen Betrugsschäden (weder als Anbieter noch als Kunde), noch auch nur einen der Virenschäden durch HTTPS verhindern können. Auch alle anderen Schäden, wie Einbruch, Festplattenausfall, Überhitzen der Grafikkarte, Datenverlust, Soft- und Hardware-Probleme, hatten und haben nichts mit HTTPS zu tun.

• Selbst Firefox schreibt: Die meisten Websites werden über HTTP aufgerufen, da meist keine sensiblen Daten ausgetauscht werden. Deshalb sind verifizierte Identitäten oder verschlüsselte Verbindungen nicht unbedingt erforderlich. - Quelle Mozilla
• Allen Zahlen über angeblich mehr als 50% Anteil von HTTPS sollten Sie sehr kritisch gegenüberstehen.
  • Erstens ist die Analyse aller mir bisher bekannt gewordenen Zahlen unwissenschaftlich.
  • Zweitens stehen die herausgebenden Firmen derartiger alternativer Fakten eindeutig parteiisch auf Seiten der HTTPS-Profiteure.
  • Drittens handelt es sich meist um eine sehr eklektizistische Auswahl.
  • Meist handelt es sich sowieso um Transaktionen oder Transfervolumina. So ist es einfach mit HTTPS-geschützten Portalen wie Google-Suchmaschine, Amazon, Facebook und Twitter bereits auf gigantische Nutzungen täglich zu kommen. Dass es sich bei diesen großen Firmen der Welt heute jedoch eher um ein paar tausend handelt, wird verschwiegen. Genauso wird gerne übersehen, dass mehrere Milliarden Inhalte noch immer ohne das S - nur mit http - ausgestrahlt werden.
• Auch die von den Zertifizierungsstellen herausgegebenen Zahlen sind nur mit größter Vorsicht zu interpretieren. Let's Encrypt ließ im Frühjahr 2017 verlauten, sie hätten bereits 100 Millionen Zertifikate ausgestellt. Das sind jedoch nicht 100 Millionen Anbieter. Mancher Auftritt besitzt z.B. 10 Domains. Manche Kunden besitzen dutzende oder sogar über 100 solcher Internet-Adressen. Will man alle schützen, so muss man für jede ein Zertifikat erwerben, obwohl sich dahinter nur 1 einziger Auftritt befindet. Hinzu kommen die Subdomains - Direktsprung-Adressen zu Unterteilen des Hauptauftrittes. Deren Anzahl läuft bei vielen Anbietern schnell in die dutzende oder sogar hunderte. Teilen Sie folglich derartig verlautbarte Zahlen deutlich.
• Angesichts der Anfang 2018 bekannt gewordenen großen Sicherheitslücken in praktisch allen Prozessoren seit Jahrzehnten handelt es sich bei HTTPS um eine Frage resp. eine Anforderung, welche die meisten Menschen getrost in die Kategorie schöner Wohnen eingruppieren dürfen.
• Abwarten: Sie können getrost abwarten, bis die Medien und Suchmaschinen das Thema derart hochspielen, dass alle Provider gezwungen werden, HTTPS sowieso als kostenlosen Standard in jedem Internet-Paket anzubieten. Dann hat nämlich der Provider den schwarzen Peter und muss sich darum in weiten technischen Feldern kümmern. Dies würde den Aufwand für die Endkunden deutlich reduzieren. - Das kommt sowieso mit HTTP/2, weil dann eine Verschlüsselung erfolgen muss, weil die Browser-Hersteller es fordern.