{"id":848,"date":"2017-04-10T11:56:28","date_gmt":"2017-04-10T09:56:28","guid":{"rendered":"http:\/\/www.jukemedia.de\/blog\/?p=848"},"modified":"2018-02-01T11:58:31","modified_gmt":"2018-02-01T09:58:31","slug":"die-verbindung-ist-nicht-sicher","status":"publish","type":"post","link":"https:\/\/www.jukemedia.de\/blog\/2017\/04\/die-verbindung-ist-nicht-sicher\/","title":{"rendered":"Die Verbindung ist nicht sicher ?"},"content":{"rendered":"

mit bestem Dank an Almut M\u00fcller<\/a><\/strong> f\u00fcr die Mitarbeit<\/p>\n

\"SSl
Bildquelle: vladwel | fotolia.de<\/figcaption><\/figure>\n

Benutzt man die neueste Version des Firefox-Browsers oder Google Chrome, so wird man derzeit – mehr oder weniger – von der Meldung „Diese Webseite ist nicht sicher“ in Kenntnis gesetzt. Besonders st\u00f6rend ist es, wenn man sich ins Backend von Contao einloggen m\u00f6chte und vor lauter Meldungen und Warnungen die Stelle zum Eingeben der Benutzeranmeldedaten nicht mehr findet. Es ist an der Zeit, etwas f\u00fcr die Sicherheit der Webseite zu tun.<\/p>\n

Was bedeutet „Die Webseite ist nicht sicher“ ?<\/h2>\n

Vielleicht haben Sie schon bemerkt, dass wenn Sie Ihre Webseite im Browser aufrufen, die Adresszeile mit HTTP<\/strong> beginnt. HTTP<\/strong> ist die Abk\u00fcrzung f\u00fcr „Hypertext Transfer Protokoll<\/strong>„. Vereinfacht \u00fcbersetzt hei\u00dft die Mitteilung an den Browser, dass f\u00fcr den Austausch von Daten die HTTP-\u00dcbertragungsmethode<\/strong> verwendet werden soll.<\/p>\n

Das hei\u00dft, dass da auf der einen Seite der Server ist und auf der anderen Seite Leute wie Sie und ich, die im Internet unterwegs sind, um auf Webseiten zu lesen, etwas einzukaufen oder pdf Dateien runterladen.<\/p>\n

\u00dcber die Angabe der URL in Form vom http:\/\/www.meine-domain.de<\/strong> ist es jedoch so, wie wenn Sie beim Bezahlvorgang an einer Kasse im Supermarkt allen Anwesenden lauthals mitteilen, wo Sie wohnen, wo genau Sie ihr Geld aufbewahren und mit welchen Daten Ihr Safe zu \u00f6ffnen ist. Die HTTP-Methode<\/strong> kann n\u00e4mlich von jedem, der Zugriff auf den Datentransfer hat oder sich diesen mit kriminellen Methoden verschafft, mitgelesen werden.<\/p>\n

Wie kann man das verhindern?<\/h2>\n

Wenn Sie nicht m\u00f6chten, dass andere mitbekommen, wo Sie Ihren Safe haben und wie dieser zu \u00f6ffnen ist, m\u00fcssen Sie entweder leiser sprechen oder in einer Sprache, die nur die Kassiererin und Sie verstehen. Genau diesen Zweck erf\u00fcllt eine weitere \u00dcbertragungsmethode, die man an dem K\u00fcrzel „HTTPS“ erkennt. HTTPS macht genau das Gleiche wie HTTP<\/strong>, das „s“ steht dabei f\u00fcr „secure“, also „Sicherheit“. HTTPS<\/strong> verschl\u00fcsselt die Kommunikation zwischen dem Server und dem Browser des Webseitenbesuchers, so dass nur diese beiden Gespr\u00e4chspartner verstehen k\u00f6nnen, was der jeweils anderes sagt.<\/p>\n

Woran erkenne ich eine sichere Seite?<\/h2>\n

Als erstes erkennen Sie eine Webseite, deren Kommunikation verschl\u00fcsselt ist, daran, dass die URL mit HTTPS<\/strong> beginnt. Des Weiteren zeigen die Browser mit einem gr\u00fcnen Schloss-Symbol an, dass der Datenaustausch mit dieser Seite verschl\u00fcsselt ist.<\/p>\n

\"\"<\/p>\n

Bisher war die Verschl\u00fcsselung, nur f\u00fcr Webseiten ein Muss, die sensible Daten abfragen, wie z.B. die Webseiten von online-shops, Banken und Versicherungen. Mit einer wenig bekannten \u00c4nderung des Telemediengesetzes aus dem Jahr 2015 wurde jedoch Paragraph 13 neu aufgenommen. Aus diesem geht hervor, dass die Pflicht zur Verschl\u00fcsselung im Prinzip jede Webseite betrifft, die z.B. \u00fcber ein einfaches Kontaktformular personenbezogene Daten erhebt. (Quelle<\/a>)<\/p>\n

Noch l\u00e4sst der neue Paragraph viele Fragen offen, es ist aber sicher nur eine Frage der Zeit, bis Bu\u00dfgeldbescheide auch an gew\u00f6hnliche Firmenwebseiten erlassen werden.<\/p>\n

\u00dcber die neue Sachlage hinaus, gibt es aber noch einen weiteren Grund warum Sie auf HTTPS<\/strong> umstellen sollten. Wie bereits eingangs erw\u00e4hnt, machen sich die Browser Chrome und Firefox ziemlich penetrant bemerkbar, wenn die Seite nicht verschl\u00fcsselt ist. Es erscheint dann eine Warnmeldung bei jedem Eingabeformular mit dem Inhalt „Diese Verbindung ist nicht sicher<\/strong>„, was die Besucher Ihrer Webseite schlichtweg verunsichert und einen schlechten Eindruck hinterl\u00e4sst.<\/p>\n

Was kann ohne https und SSL passieren?<\/h2>\n

Sicherlich haben Sie schon einmal von „Phishing“ geh\u00f6rt oder gelesen. Wann immer Sie selber z.B. in einem Shop oder Ihrem Onlinebanking unterwegs sind, sollten Sie darauf achten, ob Sie auch wirklich auf der richtigen Webseite sind. Kriminelle Zeitgenossen k\u00f6nnen n\u00e4mlich durchaus Ihre Interaktionen mit der Webseite abbiegen und Sie auf eine Seite umleiten, die zwar so aussieht wie die Seite, die Sie erwarten, tats\u00e4chlich aber eine andere ist. Wenn Sie nicht aufmerksam die Adresszeile Ihres Browsers beobachten, werden Sie kaum etwas davon bemerken. Geben Sie auf einer solchen Seite Ihre pers\u00f6nlichen Daten wie z.B. Ihre Kreditkartennummer ein, haben die Diebe alles was Sie brauchen, um Ihr Konto zu pl\u00fcndern.<\/p>\n

Sicherheit durch SSL-Zertifikate<\/h2>\n

Durch die Verschl\u00fcsselung mit HTTPS<\/strong> wird sicheres Surfen auf einer Webseite m\u00f6glich. Um verunsichernde, und zudem l\u00e4stige, Warnmeldungen zu vermeiden und um anzuzeigen, dass die Verbindung sicher ist, ist ein SSL-Zertifikat<\/strong> notwendig, welches die Echtheit der jeweiligen Website beweist.<\/p>\n

Was bedeutet SSL und was ist ein Zertifikat?<\/h2>\n

SSL<\/strong> ist die Abk\u00fcrzung von Secure Sockets Layer<\/strong> und die Vorg\u00e4ngerversion von TLS<\/strong>, Transport Layer Security. SSL bzw. TLS<\/strong> wird immer dann benutzt, wenn eine Webseite via HTTPS<\/strong> aufgerufen wird.
\nWird zum Austausch von Daten eine SSL<\/strong>-Verbindung genutzt, werden diese Daten nur dann zugestellt, wenn sich der Empf\u00e4nger (Domaininhaber) rechtm\u00e4\u00dfig als derjenige ausweist, der diese Nachrichten empfangen darf.<\/p>\n

Damit er sich bzw. die Domain als rechtm\u00e4\u00dfiger Eigent\u00fcmer ausweisen kann, braucht er einen Nachweis. Dieser Nachweis wird in Form eines Zertifikates<\/strong> ausgestellt und auf dem Server abgelegt. Das Ganze ist mit dem Vorzeigen des Personalausweises vergleichbar. Jedes Mal, wenn ein Besucher eine Webseite mit HTTPS<\/strong> aufruft, legt diese Seite ihren Personalausweis (Zertifikat<\/strong>) vor, um zu beweisen, dass es sich tats\u00e4chlich um die gew\u00fcnschte Seite handelt. Es kann angeklickt und gelesen werden.<\/p>\n

SSL-Zertifikate m\u00fcssen erworben werden<\/h2>\n

Ein Zertifikat kann man nur von einer offiziellen Vergabestelle (CA)<\/strong> bekommen. Nur diese Vergabestelle stellt sicher, dass das Zertifikat echt ist. Dazu werden die Angaben zum Eigent\u00fcmer manuell \u00fcberpr\u00fcft, was in der Folge erkl\u00e4rt, warum Zertifikate Geld kosten.<\/p>\n

Welche Arten von Zertifikaten gibt es?<\/h2>\n