Warnung vor nicht vertrauenswürdiger Verbindung

Lösung: Webseiten, die via «https» aufgerufen werden, übertragen den Datenverkehr zwischen Webserver und Webbrowser verschlüsselt. Hierfür ist ein Sicherheitszertifikat erforderlich, das der Betreiber der Webseite bei einer der zahlreichen Zertifizierungsstellen einholen kann. Das ist normalerweise kostenpflichtig, ausserdem sind Zertifikate nur eine Weile gültig und laufen gelegentlich ab.

Viele Webseitenbetreiber lösen ihre Zertifikate nur für die Hauptdomain (z.B. «domainname.ch») oder für die immer noch häufig verwendete «www.»-Subdomain «www.domainname.ch». Wenn nun eine andere Subdomain aufgerufen wird, weist der Webbrowser darauf hin, weil sie sich von jener unterscheidet, für die das Zertifikat ausgestellt worden ist. Das ist es, worauf Firefox Sie hier aufmerksam macht. Es gibt auch Zertifikate, die für alle Subdomains einer Webseite gelten. Schauen Sie sich in Ihrem Webbrowser einmal per Klick aufs Schlosssymbol die Details zu «https://www.google.ch» an. Das dort verwendete Zertifikat gilt für «*.google.ch» - also für alle Google-Schweiz-eigenen Subdomains.

Bei der erwähnten Seite «fahrplan.zvv.ch» wurde das inzwischen korrigiert bzw. die Seite ist via «https» gar nicht mehr zu erreichen. Als Beispiel darf sie trotzdem dienen, da das auch für andere Seiten zutreffen kann. Zum Zeitpunkt, als wir den Screenshot erstellten, war es folgendermassen, wenn man bei der Warnung die «Technischen Details» aufklappte. Das Zertifikat galt nur für eine Subdomain (z.B. «admin.zvv.ch»). Da die Subdomains normalerweise komplett unter der Kontrolle des Domaininhabers stehen, dürfen Sie dem Zertifikat aber meistens vertrauen. Immer vorausgesetzt, die Domain stimmt mit jener des Zertifikatinhabers überein. Es sind technisch sogar mehrere Subdomains möglich («teil1.teil2.domainname.ch»).

Tipps: Wenn Sie der tatsächlichen Domain vertrauen, dürfen Sie normalerweise auch der Subdomain vertrauen. Viele Anwender bekunden Mühe, Seiten-, Verzeichnis- und Subdomainnamen zu unterscheiden. Der Domainname selbst steht immer direkt vor dem ersten Slash (/) und wird durch einen Punkt abgetrennt. Schauen Sie sich eine Adresse wie diese an: «https://irgendwas.domainname.ch/verzeichnis/dieseite.html». Suchen Sie nun nach dem ersten «/»-Slash (natürlich abgesehen von den zwei in «https://»). Der Domainname ist hier «domainname.ch»; er besteht immer aus dem eigentlichen Domainnamen und der Top-Level-Domain meist in Form des Länderkürzels. Das «irgendwas», das per Punkt abgetrennt vor dem Domainnamen steht, ist die Subdomain. Nach dem Domainnamen und dem Slash folgen nur noch Unterverzeichnisse und quasi Dokumentnamen. Da kann sowieso jeder hineinschreiben, was er will.

Versuchen Sie einmal in diesem von uns erfundenen Beispiel zu erkennen, welches denn die tatsächliche Domain wäre:
http://safepay.ubs.com.clienttrust.pay45349.ru/~beispiel/safelogin.html

Haben Sies? Suchen Sie in der Adresse den ersten Slash. Unmittelbar davor die Domain: Es ist «pay45349.ru» und dürfte wohl kaum der UBS gehören - auch wenn in Form von Subdomains «ubs.com» eingebaut wurde. Und auch wenn in der ganzen Adresse mehrmals das Wort «safe» (engl. für «sicher») vorkommt. Einer solchen Adresse dürfen Sie nicht vertrauen. So sehen typische Phishing-Links aus.

Natürlich gibts auch anders gestaltete Webadressen; allen voran jene, die statt einer Domain eine IP-Adresse haben. Bei diesen stellt die IP-Adresse den Servernamen dar und ersetzt quasi die Domain. Daraus folgt, dass auch die IP-Adresse jene ist, die direkt vor dem ersten Slash zu finden ist («http://192.99.99.99/beispiel/irgendwas.html»). Webadressen, die auf IP-Adressen verweisen, sollten Sie nicht vertrauen, da sie offenbar zu verschleiern versuchen, wem der Server gehört.

Wenn ein an sich vertrauenswürdiger «Domainname» erst nach dem ersten Slash auftaucht, ist sie ebenfalls nicht vertrauenswürdig (z.B. in einer Form wie «http://192.99.99.99/beispiel/ubs.com/safelogin.html»). Auch das ist ein beliebter Phishing-Trick.