HTTPS – und nun?

CR248 Wovor uns Transportverschlüsselung schützen kann (und wovor nicht) ()

HTTPS – fünf Buchstaben, die im Webbrowser anzeigen sollen: Eine Website ist verschlüsselt und damit sicher. Aber ist es so einfach? Google Chrome markiert seit kurzem alle Websites ohne HTTPS als unsicher – der Kampf gegen das unverschlüsselte Web.

Wie viel Sicherheit bedeutet HTTPS wirklich? Welchen Seiten kann ich meine Kreditkartendaten anvertrauen? Wie bekomme ich HTTPS für meine eigene Website – und brauche ich das? Das bespricht Konrad Spremberg im Chaosradio 248 mit Anna-Lena, Nibbler, Mutax und Danimo vom Chaos Computer Club.

Mitwirkende

avatar
Konrad Spremberg
Moderation
avatar
Anna-Lena Baecker
Gast
avatar
Florian
Gast
avatar
danimo
Gast

12 Gedanken zu „HTTPS – und nun?

  1. Das Ding beim HTTPS Redirect ist: Es gibt Systeme mit sehr stark veralteter Software. Internet Explorer 6 und so weiter.
    Ist man in dem Metier unterwegs muss man sich entweder um mehrere SSL Certs Gedanken machen, da der IE 6 nur Standards kann die seit Ewigkeiten als unsicher gelten oder halt wohl oder übel einen Kunden überzeugen doch gleich alles zu aktualisieren.

    Das Redirect zu überprüfen ist nur Nebensache – Sicherzustellen dass der Webserver in keinster Weise irgendwo noch HTTP ausliefert (IE 6 also als 404 zurückliefert oder auch einzelne Scripts oder eingebettete Frames und Bilder) ist eine größere Mammutaufgabe als man denkt.
    All die SEO-Staubsaugervertreter im Internet behaupten sogar dass Google Seiten mit auch nur einem einzelnen HTTP Script deutlich schlechter wertet als komplett reine Seiten.
    Gerade wenn man sein eigenes Leben über die akkurat DGSVO-Konform per Splashpage angekündigte Totalüberwachung der Websitebesucher refinanziert ist das ne Aufgabe viel Tracking-Javascript und viel Werbung kommt einfach nur als HTTP daher…

  2. Hey there! Wenn ihr das im „Vorbereitungspad“ hattet? Könnt ihr das nich noch verlinken bitte? 🙂
    Ich würde das gerne klicken mit dem Twitter post von diesem Entwickler.

  3. bzgl: Asymmetrische Verschlüsselung: Pardon. Aber ich war jetzt nich so geflasht von der Erklärung 😀
    Das einfachste was ich bisher gehöhrt habe ist das mit den Schlössern und Schlüsseln: Der Public Key ist wie Schlösser verteilen. Jeder kann DEIN Schloss haben mit dem kann er selber nicht viel anfangen außer es zu benutzen um DIR Daten zu verschlüsseln. Dein Private Key is nun der Schlüssel mit dem du die Schlösser wieder aufbekommst.

  4. Ich wäre ja persönlich auf Grund der Gefährdungslage mehr auf Schutz von Authentifizierungsdaten (Passwörter, Session IDs) eingegangen, statt Kontaktformulare u.ä.. Da gibt es ja auch durchaus viele Beispiele „in the wild“, die die Relevanz für Otto Normalverbraucher auch nochmal sehr deutlich darstellen, a la Passwörter im WLAN rausziehen.

    Die Analogie mit den Schlüsseln und auf- und abschließen für asymmetrische Crypto ist aber super, das werd ich in Zukunft jetzt auch so erklären.

    • Danke für dein Feedback. Ja, es wäre gut gewesen, da nochmal genauer drauf einzugehen. Dazu fehlte aber leider die Zeit. Auch wenn wir uns die Themen vorher in einem Pad zurecht legen ist die Idee des Chaosradios doch, dass es keine minutiös geplante Autorensendung ist, sondern schon Gesprächscharacter, und vor allem die Basics vermitteln soll.

      Auch Seiten wie ssllabs.com und hardenize.io, die ich noch dem geneigten HTTPS-Migrierer ans Herz legen wollte haben es nicht mehr on-air geschafft. Immerhin gibt es genau dafür diese Kommentare und nicht zuletzt die Request For Comments-Folge, in der Anna-Lena und Clemens das genauer besprechen.

  5. Ein sehr interessanter Beitrag – ich habe gerade heute selber meinen ersten Server eingerichtet und die Einbindung von https war gar nicht mal so schwierig.
    Weiter so.

  6. Hallo,
    das war schon ein sehr interessanter Beitrag – Danke!
    Meine Anmerkung dazu:
    Man soll sich nicht wundern, wenn es so viele Schadware gibt und so viele betroffene User. All diese Sicherheitsmechanismen wie z. B. https taugen doch nichts, solange sie für den „normalen“ User dermaßen kompliziert sind, dass er sie zum einen nicht versteht und zum anderen deshalb auch nicht als Schutz für sich in Anspruch nehmen kann/will. Ich selbst war lange Programmierer und bin IT erfahren. Aber bei dem Beitrag bin ich immer mehr abgedriftet. Und das lag nicht an den Beteiligten und deren Erklärungen. Aber das Thema ist so dermaßen kompliziert, dass man fast sagen könnte, https ist als Sicherheitsstandard gescheitert! Und das gilt meiner Meinung nach auch für viele andere Techniken.

    Was man wirklich bräuchte, wäre ein sicheres Internet, welches die User ohne die Mechanismen zu verstehen, einfach nutzen könnten. Vielleicht vergleichbar wie Fernsehen. Aber ich bezweifle einfach, dass so etwas möglich ist. Und daher wird es das Thema Betrug und Betrogene auch weiterhin im Internet (und anderswo) geben. Auch wenn User wie ich schon sehr auf Sicherheit bedacht sind und Passwortmanager etc. anwenden.

    Ein sicheres Internet wäre wohl nur noch mit all den Hilfsmitteln wie AddBlocker, Java Unterdrückung und was es da alles gibt möglich.

    Aber:
    Dann kann man es auch gleich lassen, da man nur ein massiv eingeschränktes Angebot bekommen würde.

    In diesem Sinne war der Podcast ein trauriger und frustrierender Beitrag – aber sehr notwendig und gut gemacht!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert