SSL-Verschlüsselung - Support für Zertifizierer

ssl
Seit einiger Zeit bringt Google Chrome den Hinweis "nicht sicher", wenn eine Webseite nicht SSL-verschlüsselt dargestellt wird. Im Netz kursieren deshalb wildeste Meinungen über mögliche Gefahren, die von solchen Seiten ausgehen können.

Was steckt wirklich dahinter? Zunächst betrachten wir einmal, was Google selbst als Information dazu gibt: "Sie sollten keine vertraulichen Informationen wie Passwörter oder Kreditkartennummern auf dieser Webseite eingeben, da sie von Angreifern gestohlen werden könnten". Während die Anzeige "Nicht sicher" erschreckt, zeigt die Erklärung doch, wo eigentlich die Gefahr liegt. Solange keine Daten eingegeben werden, ist es vollkommen unerheblich, ob eine Seite SSL-verschlüsselt ist, oder nicht. Die Metadaten (z.B. IP-Adresse) weden über das IP-Protokoll immer unverschlüsselt übertragen. Erst die Inhalte werden verschlüsselt. Es stellt sich die Frage, warum Informationen einer Seite, die öffentlich gelesen werden kann und soll, verschlüsselt werden sollen.

Ein klarer Vorteil einer verschlüsselten Seite ist es, dass man sich das Zertifikat anzeigen lassen kann, in dem der Zertifikatsinhaber genannt ist. Damit kann überprüft werden, ob die Seite, die man aufgerufen hat, auch dem gehört, der sich als Inhaber ausgibt. Wenn aber kein Verdacht auf eine Fälschung vorliegt, gibt es für den, der die Seite aufruft, auch keinen Grund, jede Urheberschaft zu prüfen.

Manche Provider versuchen nun, indem sie vor der "Gefahr durch unverschlüsselte Seiten warnen", entweder eigene Zertifikate zu verkaufen, oder aber mit kostenlosen Zertifikaten zu werben. Die Zertifizierer lassen sich für ihre Dienstleitung bezahlen. Diese Kosten werden in irgend einer Form an den Seiteninhaber weiter gegeben. Und deshalb ist dieser Google Hinweis auf unsichere Seiten im Endeffekt ein Support-Programm für Zertifizierer.

Es ist klar: Webseiten, die die Eingabe von persönlichen Informationen verlangen, müssen verschlüsselt sein. Hier sind SSL-Zertifikate notwendig. Seiten, die nur Inhalte präsentieren, müssen nicht verschlüsselt werden.

 

Lassen Sie sich von uns kompetent beraten, ob Sie eine SSL-Verschlüsselung brauchen