Wenn du dich mit einer Website verbindest, fällt dir oft auf, dass die URL nur den Namen der Website anzeigt. Aber während wir uns in eine stärker digitale Welt bewegen, ist es dringend empfohlen, dass Seiten SSL-Zertifikate und Transport Layer Security verwenden, um deine Verbindung zu ihnen zu verschlüsseln. Das wird in deinem Browser als https:// angezeigt, wobei das S das Wichtige ist, auf das du achten solltest. Browser wie Safari auf deinem iPhone/iPad/iPod und Firefox auf deinem Desktop/Laptop machen es dir nun leicht, zu erkennen, welche Seiten gesichert sind und welche nicht, indem sie ein Schloss-Symbol neben der Website anzeigen. Sieh dir dieses verlinkte Beispiel der PayPal-Website an, das nicht nur das Schloss-Symbol zeigt, sondern auch eine Identitätsprüfung, bekannt als Extended-Validation-Zertifikat (grüne Worte neben dem Schloss), um einen Vertrauensfaktor dafür zu liefern, dass du dich tatsächlich mit der echten PayPal-Website verbindest.
Kurz gesagt bedeutet es, wenn du dich mit einer Website mit einem SSL-Zertifikat verbindest, dass alles, was du im Zusammenhang mit dieser Website tust, von deinem Browser zum Server der Website und dann zurück zu deinem Browser verschlüsselt wird. Das schließt Login-Informationen, Passwörter, Finanzinformationen und alle anderen persönlichen Details ein. Sogar auf meiner Website cryptoseb.pw habe ich ein SSL-Zertifikat, das TLS verwendet, um den gesamten Datenverkehr zu verschlüsseln. Ich brauche überhaupt keins, aber es ist gute Praxis, immer eins zu verwenden. Verschlüsselung ist im Internet niemals eine schlechte Sache. Aber sei vorsichtig: Zertifizierungsstellen (die großen Unternehmen, die vertrauenswürdige SSL-Zertifikate an Nutzer ausgeben) können gehackt werden und sind in der Vergangenheit bereits gehackt worden, was die Sicherheit jedes von ihnen ausgestellten Zertifikats kompromittieren würde. HTTPS liefert uns auch nicht nur Verschlüsselung für die Daten während der Übertragung. Es gibt uns eine Möglichkeit, die Daten zu authentifizieren. Wenn eine Website alle Informationen im Klartext überträgt, kannst du nicht sicher sein, dass auch nur die Website, die du betrachtest, die echte ist. Wenn deine Verbindung Opfer eines Man-in-the-Middle-Angriffs würde, könnten die Daten jederzeit kompromittiert werden. Das ist keine leichte Aufgabe, wenn eine Website SSL/TLS richtig nutzt.
Allerdings ist die Verschlüsselung zu und von einer Website nicht immer auf dem aktuellen Stand und kann falsch konfiguriert sein, schwache Algorithmen/Cipher-Suites verwenden oder Vertrauensprobleme mit dem Zertifikat haben. Der beste Weg, um herauszufinden, ob die Website, mit der du dich verbindest, gute Werte bei ihrem Zertifikat hat, ist, zu https://www.ssllabs.com/ssltest/ zu gehen und die Website-URL in das Scan-Feld einzugeben. Ich habe cryptoseb.pw so konfiguriert, dass es ein A+ mit durchgehend 100ern in der Liste erhält. Das ist ernsthafter Overkill und verliert die Unterstützung mancher älterer Browser, aber es bedeutet das höchste Sicherheitsniveau. Hier sind einige Hinweise, worauf du achten solltest, um maximale Verschlüsselungsstärke/-vertrauen zu erreichen:
- Zertifikat ist VERTRAUENSWÜRDIG
- Schlüssel ist größer als 2048 Bit (RSA)
- TLS1.2 wird als Protokoll angeboten, aber NICHT SSL
- RC4/MD5-Cipher sind serverseitig NICHT erlaubt
- Secure Renegotiation aktiviert
- HSTS Strict Transport Security aktiviert
- Public Key Pinning (HPKP) aktiviert (aber nicht zwingend notwendig, nur ein Bonus)
- OCSP-Stapling aktiviert
- Forward-Secrecy-Cipher serverseitig bevorzugt
Befolge die untenstehenden Schritte, um diese nativen HTTPS-only-Funktionen in Firefox, Chrome, Edge und Safari einzuschalten, und feiere mit uns, dass HTTPS für Nutzer wirklich überall ist: https://www.eff.org/deeplinks/2021/09/https-actually-everywhere