Sicherheit beim Surfen: Das Wichtigste rund ums Schloss-Symbol

Elektronische Sicherheitszertifikate kommen an vielen Orten zum Einsatz. Ganz generell dienen sie dazu, die Echtheit einer Webseite oder auch einer Person festzustellen. Der mit dem Zertifikat verknüpfte öffentliche Schlüssel dient bei Webseiten zudem der verschlüsselten Datenübertragung. Seit Anfang November ist auch die PCtipp-Webseite (pctipp.ch) mit einer Verschlüsselung ausgestattet.

Wenn Sie früher per Webbrowser mit einer Webseite kommunizierten, kam üblicherweise das HyperText Transfer Protocol zum Einsatz, kurz http. Dieses hat jedoch einen gewichtigen Nachteil: Jeder, der sich im gleichen Netzwerk wie Sie bewegt, kann mit simplen Gratisprogrammen alle Daten mitschneiden, die Sie mit einer Webseite via http austauschen. Bei profanen Dingen wie Fahrplanabfragen, dem Lesen von News oder beim Nachschlagen in einem Onlinelexikon mag das nicht so schlimm sein. Sehr viele Daten, die Sie mit Webseiten austauschen, sind jedoch privater Natur. Da wären zum Beispiel Passwörter, die Sie zum Einloggen auf Webseiten benutzen. Die dürfen keinesfalls in fremde Hände gelangen. Noch heikler wird es beim Internetbanking, beim Besuch Ihres Krankenkassen-Accounts, bei Einkäufen oder bei Benutzung von Webmail für die private Korrespondenz. Würde dies bloss via http abgewickelt, könnten Mitlauscher Ihre Finanz- und Krankheits­daten abgreifen und Ihre E-Mails lesen.

Darum wurde das Protokoll um eine Sicherheitsschicht erweitert. Geboren war das HyperText Transfer Protocol Secure, kurz https. Hierbei handelt es sich um eine sogenannte Transportverschlüsselung, in der Fachsprache Transport Layer Security (TLS) genannt. Anders als etwa in der E-Mail-Verschlüsselung (Pretty Good Privacy, PGP) brauchen sich die Benutzer bei https nicht selbst um irgendwelche Schlüssel zu kümmern. Ihr Webbrowser und der Webserver, den Sie damit besuchen, handeln die Sache mit den Schlüsseln in Sekundenbruchteilen selbst aus.

Angenommen, Sie besuchen eine Webseite, zum Beispiel pctipp.ch. Wie jede Webseite liegt auch diese auf einem Webserver. Ihr Browser meldet sich beim Webserver, mit dem Wunsch, pctipp.ch via https abzurufen. Der Webserver übermittelt an Ihren Browser das zu pctipp.ch gehörende Zertifikat. Darin enthalten ist der öffentliche Schlüssel des Webauftritts. Ihr Webbrowser überprüft das Zertifikat, um herauszufinden, ob es sich wirklich um pctipp.ch handelt. Wenn diese Prüfung erfolgreich verläuft, erstellt der Browser einen Sitzungsschlüssel. Den verschlüsselt er mit dem öffentlichen Schlüssel des Webservers und stellt ihm diesen zu. Damit haben sich Webbrowser und Server auf einen symmetrischen Sitzungsschlüssel geeinigt, mit dem der Webseitenbesuch beiderseits verschlüsselt wird. Allfällige Mitlauscher bekommen nur Zahlen- und Buchstabensalat zu sehen.
Wichtig: Bloss weil eine Webseite ein gültiges Zertifikat hat, muss das noch nicht bedeuten, dass der Anbieter seriös ist. Es heisst nur, dass für die angegebene Domain ein gültiges Zertifikat implementiert wurde. Er kann Sie also dennoch mit gefälschten Angeboten oder anderen Tricks über den Tisch ziehen.

Wenn die Zertifikatsprüfung im Webbrowser hingegen scheitert, erscheint im Browser eine Fehlermeldung, die oftmals ziemlich furchteinflössend klingt. Meistens ist ein Besuch der Seite aber mit den richtigen Klicks trotzdem möglich. Ratsam ist der Besuch aber nicht, falls Sie vorhaben, mit der Webseite private Daten auszutauschen oder falls es sich um einen Shop handelt. Die Gründe für ein Scheitern der verschlüsselten Verbindung sind aber manchmal relativ harmlos. Unten zwei häufig angetroffene Beispiele.