- Offizieller Beitrag
Seit Jahren vermehren sich endlich die Webseiten, welche ausschließlich SSL verschlüsselt erreichbar sind. Das HTTP Protokoll dient eigentlich nur noch dazu einen Redirect auf die HTTPS Seite zu senden.
Wozu die Verschlüsselung? Zum einen soll dadurch der Traffic zwischen dem User und dem Server abhörsicher sein. Zum lesen allgemein erreichbarer Webseiten ist das nicht unbedingt notwendig, aber bestimmte Daten möchte man nicht von Dritten auslesen lassen. Des Weiteren ist das Verfälschen ein großer Punkt bei unverschlüsselten Daten. Theoretisch könnte ein "man in the middle" die nicht verschlüsselten Daten zwischen dem User und Server manipulieren. Der User fragt z.B. Informationen von einem Nachrichtenportal ab, bekommt aber Daten im Browser zu sehen, welche der Server nicht geschickt hat.
So könnte jemand zum Beispiel Werbung, Viren oder Trojaner in Webseiten einschleusen. Die HTTPS Verschlüsselung ist zwar auch nicht 100% sicher, sorgt aber zumindest für einen Grundschutz. Hierbei muss man natürlich immer auf aktuelle Technologien setzen, welche noch nicht von Hacker-Gruppen oder Regierungen ausgehebelt wurden. Wer auf SSL setzt, aber noch immer SSLv2 oder SSLv3 unterstützt, hat nicht viel gewonnen. Des Weiteren sind die Ciphers enorm wichtig. Wer hier noch alte Ciphers zulässt ist für Profis genauso sicher, wie ohne Verschlüsselung.
SSL Zertifikate kosten allerdings Geld. Zumindest für offiziell anerkannte Zertifikate muss man in die Tasche greifen. Je nach Glaubwürdigkeit des Zertifikates muss man tiefer in die Tasche greifen.
Unsere handelsüblichen Browser (Firefox, Chrome, Safari, ...) akzeptieren nur bestimmte Zertifizierungsstellen. Jetzt kommt endlich die Erlösung für alle, die verschlüsseln aber kein Geld ausgeben wollen. Das Projekt letsencrypt.org sorgt für kostenfreie Zertifikate, welche von allen gängigen Browser erkannt werden sollen. Dazu braucht man „nur“ seinen Server verifizieren und kann sich regelmäßig ein neues Zertifikat erstellen.
Der Weg zum Zertifikat ist relativ umständlich, wird aber sicher in Zukunft noch vereinfacht werden. Wichtig ist hier nur, dass die Zertifikate von allen Browsern anerkannt werden.
Alternativ bekommt man die netten Meldungen im Browser, dass dem Zertifikat nicht vertraut wird. Unwissende Nutzer werden mit den Meldungen (zurecht) abgeschreckt.
Das Lets Encrypt Projekt nimmt aktuell massiv zu und stellt aktuell etwa 100.000 Zertifikate pro Woche aus! Hätte ich selbst nicht im letzten Jahr ein 3 Jahres Zertifikat gekauft, würde ich ebenfalls let’s encrypt nutzen.
Sobald mein Zertifikat für https://www.cmace.de/index.php/Thre…l%C3%BCsselung/ ausläuft, werde ich sicher auch umsteigen (sofern das Projekt dann noch immer präsent ist).
