SSL – sicher im Internet surfen – dank verschlüsselter Verbindung

Was ist SSL?
Mit Hilfe von SSL kann man beispielsweise die Verbindung zu Webseiten verschlüsseln.

Warum ist das wichtig?
Surft man unverschlüsselt im Internet oder ruft unverschlüsselt seine E-Mails ab, können die Benutzernamen, die Passworte und die gesendeten Daten von Dritten mitgelesen werden. Außerdem kann beobachtet werden, welche Seiten man sich ansieht (wobei das zum Teil mit Verschlüsselung auch weiterhin geht – es sollte dann auf Anonymisierungsdienste wie TOR zurückgegriffen werden).
Beispielsweise können in einem W-LAN komplette Sessions übernommen werden. So konnte man früher Facebook mit einem Firefox Plugin namens Firesheep übernehmen – ohne die Login-Daten zu kennen. Und konnte auf alle Funktionen zugreifen, auf die auch der/die eigentliche Benutzer_in zugreifen konnte.

Ist die Verschlüsselung sicher?
Das Problem bei SSL ist, dass die Schlüssel zur Verschlüsselung sicher ausgetauscht werden müssen. Wenn du beispielsweise mtmedia.org ansurfst bekommst du den öffentlichen Schlüssel von mtmedia.org zugesendet, mit Hilfe dessen dein Browser dann eine verschlüsselte Verbindung zu mtmedia.org aufbaut.
Die Frage ist nun, woher weist du, dass der Schlüssel auch wirklich der von mtmedia.org ist? Es könnte sich ja jemand anders für mtmedia.org ausgeben oder einen Man in the Middle Angriff durchführen. Bei letzterem schält sich der Angreifer zwischen dich und mtmedia.org und gaukelt dir vor er sei mtmedia.org und mtmedia.org er sei du. Er tauscht mit beiden die Schlüssel aus und leitet alle Anfragen über sich. Da er die Schlüssel hat, kann er alles mitlesen…

Was kann man dagegen tun? Helfen diese SSL-Zertifikate?
Genau dafür hat man die SSL-Zertifikate entwickelt. Dafür gibt es Zertifizierungsinstitutionen, bei denen Webseiten ihre Schlüssel zertifizieren lassen können. Beispielsweise haben wir unseren öffentlichen Schlüssel von einem Zertifizierer signieren lassen. Dazu erstellt dieser eine Signatur (mit seinem privaten Schlüssel). Diese wird mit dem mtmedia.org-Verschlüsselungszertifikat ausgeliefert. Dein Browser kann die Signatur anhand der im Browser bereits integrierten öffentlichen Schlüssel der Zertifizierer überprüfen und du weist damit das das Zertifikat von mtmtedia.org stammt.

Woran erkenne ich eine verschlüsselte Verbindung die mit einem Zertifikat geschützt wurde?
Im Firefox erkennt man eine verschlüsselte, mit Zertifikaten abgesicherte Verbindung an einem kleinen Schloss vor der URL/Domain:

ssl-1

Wenn ein Zertifikatsfehler Auftritt erscheint folgende Warnmeldung:

ssl-2

Ist das dann wirklich sicher?
Nein, auch dabei gibt es Probleme: Dein Browser akzeptiert alle Zertifikate die von einem gültigen Zertifizierer stammen. D.h. jede der Zertifizierungsstellen kann ein Zertifikat für mtmedia.org ausstellen, welches dein Browser anstandslos akzeptiert. Manche Zertifizierer sind staatlich, andere nehmen es mit der Sicherheit nicht so genau, wieder andere wurden bereits gehackt.
Es gibt aber auch dafür eine Möglichkeit die Sicherheit zu steigern. Für Firefox gibt es Addons, die die Zertifikate speichern und dich bei Zertifikatsänderungen warnen. Außerdem können die Plugins bei anderen Institutionen prüfen ob diesen und dir das selbe Zertifikat ausgeliefert wurde. So kann ein Man in the Middle Angriff massiv erschwert werden.

Was ist der Unterschied zwischen SSL und TLS?
TLS ist der Nachfolger von SSL. Die Begriffe werden aber häufig synonym verwendet.

Was ist StartTLS?
StartTLS benutzt eine unverschlüsselte Verbindung und handelt auf ihrer Basis eine verschlüsselte aus. Im Unterschied zu herkömmlichen SSL/TLS-Verbindungen ist die Verschlüsselung dabei nicht von Anfang an zwingend vorgegeben – es sollte also wenn möglich auf die “richtigen“ SSL/TLS-Verbindungen zurückgegriffen werden. StartTLS kommt v.a. im E-Mail-Bereich vor. Schau mal in deinem Mailprogramm nach.

Kann ich Webseiten zwingen SSL standardmäßig einzusetzen?
Für Firefox gibt es das Addon HTTPS-Everywhere, das eine Reihe von Seiten dazu zwingt das von ihnen bereits unterstützte HTTPS auch wirklich einzusetzen.

Wo finde ich mehr Informationen zu den erwähnten Firefox-Addons??
Wir haben dazu eine Anleitungs- und Info-Seite geschrieben.