Wie kann man nun mit HTTPS die höchste Sicherheitsstufe erhalten? Man sollte zumindest die folgenden Sicherheits-Tipps beachten:
- Löschen Sie alle Ihre alten Lesezeichen / Bookmarks und setzen Sie sie mit https neu, oder ändern Sie die alten Adressen selbst manuell auf HTTPS ab. So wird bereits die erste Verbindung verschlüsselt hergestellt, und einfache Man-in-the-middle-Angriffe von Personen dazwischen werden erschwert.
- Misstrauen Sie allen Sonderkennzeichnungen: Entweder der Internet-Auftritt zeigt ein grünes (bei Microsoft: graues) Schloss oder einen grünen Namenszug der Firma vor der Internet-Adresse, oder der Auftritt ist nicht sicher. Es findet sich auch mit HTTPS in der Adresszeile kein
teilweise sicher
- Wenn Sie bereits als Nutzer (= Laie) erkennen, dass ein Zertifikat nicht wirklich korrekt installiert ist, z.B. indem gelbe oder rote Dreiecke oder rote Warnhinwiese stehen (z.B. Mixed Content), oder das Zertifikat abgelaufen ist, dann seien Sie auf der Hut:
- Entweder sind die Betreiber technisch nicht in der Lage oder aus Bequemlichkeit nicht willig, die Sicherheit zu gewährleisten,
- oder es handelt sich um ziemlich dreiste Betrüger,
- oder der angeblich geschützte Internet-Auftritt wurde Opfer einer Attacke und befindet sich evtl. unter Kontrolle der Angreifer.
- Bei ehrlichen Profis sowie bei professionellen Betrügern funktioniert HTTPS perfekt. Seriöse Anbieter kümmern sich aus Imagegründen mit eigenen Fachkräften um die korrekte Umsetzung, und organisierte Betrüger bezahlen ebenso Spezialisten, weil sie nicht an derart läppischen Fehlern scheitern wollen.
- Der Unterschied eines HTTPS-Auftrittes zu einem http ohne s ist für den Nutzer gleich Null. Denn in Wirklichkeit muss er selbst jedes Zertifikat im Detail überprüfen. Die meisten Nutzer wissen noch nicht einmal, wie dies geht. (Erklärende Links dazu finden Sie unten.)
- Und selbst ein korrekt installiertes und dazu noch funktionierendes SSL-Zertifikat ist auch noch keine Garantie dafür, dass Sie gegen alle bereits heute bekannten Bedrohungen geschützt sind.
- Letztendlich ist die Überprüfung aller Details so zeitaufwändig, dass sie meines Erachtens von niemandem ständig durchgeführt wird. Um alle Details im Browser-Zertifikat zu überprüfen, sind über ein Dutzend Klicks und mindestens 1 Minute zum korrekten Lesen erforderlich. Wobei die meisten Nutzer die meisten Inhalte der angezeigten Zertifikate vermutlich kaum verstehen und somit nicht überprüfen können. Das gesamte System HTTPS widerspricht den Grundsatz der schnellen Verfügbarkeit der Daten im Internet und ist deshalb schlichtweg nicht alltagstauglich.
- Die Nutzung des Internets bleibt eine Frage des Vertrauens.
- D.h. auch ganz klar, dass Internet-Auftritte ohne HTTPS keineswegs unsicherer oder unseriöser sind, als solche mit dem S.
Relative Sicherheit
- Absolute Sicherheit existiert nicht - vor allem nicht im Internet.
- Man kann folglich bei allen Bemühungen nur von einer relativen Sicherheit sprechen.
- Das Verschlüsselungssystem A ist relativ gesehen sicherer als das Verschlüsselungssystem B.
- Oder: Heute ist das Verschlüsselungssystem C relativ sicher. Aber morgen kann es bereits unsicher sein.
- Ferner gelten alle veröffentlichten Betrachtungen zur Sicherheit nur für Normalsterbliche mit kaum vorhandenen Analyseprogrammen und beschränkter Hardware für Privatpersonen.
- Fakt ist und bleibt jedoch auch für die Zukunft, dass jedes Verschlüsselungssystem entschlüsselbar ist.
- Entweder geschieht das Entschlüsseln durch schiere Rechenleistung (= brute force)
- oder durch intelligente Software - bis hin zu AI / KI.
- Sie dürfen davon ausgehen, dass die Sicherheitsdienste und die organisierte Kriminalität sowohl auf die schnellsten Rechnersysteme als auch die intelligenteste Software zugreifen können oder sie sogar selbst besitzen.
- Sicherheit bedeutet letztendlich bei Verschlüsselungsverfahren nur, dass man den Aufwand für die Entschlüsselung hochtreibt - in der Hoffnung, dass der Aufwand sich für die Angreifer nicht lohnt.