Tipps & Tricks 12.06.2013, 05:48 Uhr

Nicht vertrauenswürdige «https»-Seiten

Problem: Ich möchte die Webseite «https://www.ccczh.ch/SAFE-Sperrliste» aufrufen. Da meldet aber z.B. Chrome «Das Sicherheitszertifikat der Website ist nicht vertrauenswürdig!». Was ist da los - und darf ich die Seite trotzdem öffnen?
Lösung: Die erwähnte Webseite bzw. zugehörige Domain ccczh.ch gehört dem Chaos Computer Club Zürich. Über die Protokollangabe «https» rufen Sie diese verschlüsselt auf. Nun ist es so, dass für die Verschlüsselung stets ein elektronisches Zertifikat erforderlich ist, das der Browser vom aufgerufenen Server abruft.
Die meisten Websites verwenden Zertifikate von bekannten Herausgebern, wie etwa Verisign. Ist der Herausgeber beim Browserhersteller bekannt, wird dem Zertifikat vertraut. Andere erstellen ihre eigenen Zertifikate, so auch z.B. Google. Auch diese Zertifikate werden von den Browserherstellern üblicherweise durchgewunken.
Erzeugt ein kleinerer Seitenbetreiber seine eigenen Zertifikate, ist die Chance aber klein, dass der Browser diesen Herausgeber kennt. Dann erscheint die entsprechende Meldung. Ein anderer Grund für die Meldung kann sein, dass das Zertifikat überhaupt nicht gefunden und die Seite somit nicht verschlüsselt übertragen wird. Ein dritter, sehr häufiger Grund: Der Seitenbetreiber hat das Zertifikat nur für «www.beispiel.ch» ausstellen lassen, Sie surfen aber eine andere Subdomain an, z.B. «webmail.beispiel.ch». 
Wenn Sie die Domain kennen und dem Besitzer vertrauen, klicken Sie in Chrome auf «Trotzdem fortfahren». Im Firefox öffnen Sie «Ich kenne das Risiko» und fügen die Seite als Ausnahme hinzu. 
Fügen Sie in Firefox eine Ausnahme hinzu
Im Falle des CCC Zürich gehen wir nicht von Missbrauch aus. Wichtig ist hierbei, dass Sie in der Webadresse den tatsächlichen Domainnamen erkennen und dieser auch an der richtigen Stelle steht. Siehe hierzu auch die Tipps in diesem Kummerkastenartikel. Wenn Sie wissen, welches die tatsächliche Domain einer langen Webadresse ist, laufen Sie weniger Gefahr, einem Betrüger auf den Leim zu gehen. 
Solange Sie nicht planen, sensible Daten zu übertragen, können Sie in der Webadresse auch einfach das «s» aus «https» entfernen. Dann sucht der Browser kein Zertifikat - und es findet aber auch keine Verschlüsselung statt.



Kommentare
Es sind keine Kommentare vorhanden.