Das grüne Schlosssymbol in der URL-Leiste ist kein vertrauenswürdiges Symbol mehr
Seit Jahren werden Sie ständig aufgefordert, Ihre privaten Informationen nicht auf einer Website einzugeben, auf der kein grünes Vorhängeschloss in der Adressleiste angezeigt wird. Einige von Ihnen haben diesen Rat befolgt und andere nicht, aber haben Sie sich jemals gefragt, wofür dieses grüne Vorhängeschloss steht und wie es funktioniert?
Obwohl Browser wie Google Chrome diese Funktion langsam auslaufen lassen (die Gründe hierfür werden in Kürze ersichtlich), wird das grüne Vorhängeschloss allgemein als Zeichen dafür anerkannt, dass die angezeigte Website über ein SSL-Zertifikat verfügt und unter HTTPS geladen ist. Dies bedeutet wiederum, dass alle Informationen, die von und auf die Website gelangen, verschlüsselt und vor Man-in-the-Middle-Angriffen geschützt sind.
Früher hatten Experten einen weiteren Grund, Sie davor zu warnen, Ihre Daten auf Websites einzugeben, die nicht über HTTPS geladen wurden. SSL-Zertifikate werden von Zertifizierungsstellen (Certificate Authorities, CAs) ausgestellt, für die früher mehrere hundert Dollar pro Jahr berechnet wurden. Vorhersehbar waren Betrüger nicht bereit, diese Art von Geld auszugeben, damit ihre Phishing-Seiten der Realität ähnelten, und selbst wenn dies der Fall gewesen wäre, hätten sie einige der manuellen Überprüfungen, die damals durchgeführt wurden, nicht bestanden. Mit anderen Worten, echte Amazon-Anmeldeformulare hatten grüne Sperren und falsche nicht. Dies ist leider nicht mehr der Fall.
Table of Contents
Das Aufkommen kostenloser SSL-Zertifikate und deren Auswirkungen auf das Internet
Leider waren die Gauner nicht die einzigen, die ihre Websites nicht über HTTPS weiterleiten konnten. SSL-Zertifikate waren auch für viele legitime Website-Besitzer zu teuer, was bedeutete, dass etliche Online-Shops die Daten ihrer Kunden offenlegten. Es musste etwas getan werden.
Im Jahr 2014 wurde eine neue Zertifizierungsstelle namens Let's Encrypt eingerichtet, die ab sofort SSL-Zertifikate völlig kostenlos anbietet. Das Internet mochte die Idee.
Let 's Encrypt hat die Beta im April 2016 offiziell beendet, als stolz angekündigt wurde, dass die Anzahl der von ihr ausgestellten Zertifikate bei 1,7 Millionen lag. Nur vierzehn Monate später gab es mehr als 100 Millionen Let's Encrypt-Zertifikate.
Kostenlose SSL-Zertifikate werden jetzt auch von anderen Zertifizierungsstellen angeboten, und aufgrund dieser Zertifikate wird HTTPS eher zur Norm als zur Ausnahme. Im August gab der Sicherheitsspezialist Scott Helme bekannt , dass zum ersten Mal mehr als die Hälfte der Alexa Top 1 Million-Websites unter HTTPS geladen wurden. Diese Änderung hat die Browser-Anbieter dazu veranlasst, das grüne Schlosssymbol zu verwerfen und durch ein größeres "Nicht sicher" -Zeichen zu ersetzen, wenn eine Seite nicht unter HTTPS geladen wird. In der Tat ist das Vorhängeschloss bei weitem nicht mehr so nützlich wie früher.
Fast 50% aller Phishing-Seiten werden jetzt über HTTPS geladen
Das Aufkommen kostenloser SSL-Zertifikate ist eines der guten Dinge, die der Welt in letzter Zeit widerfahren sind. Obwohl sie kein Allheilmittel sind, haben sie kleineren Online-Anbietern ermöglicht, nicht nur zu überleben, sondern auch zu gedeihen, und im Moment haben selbst die einfachsten HTML-Websites keine Entschuldigung dafür, unter HTTP zu laufen.
Wenn SSL-Zertifikate für rechtmäßige Website-Inhaber kostenlos und einfach einzurichten sind, sind sie leider auch für Betrüger kostenlos und einfach einzurichten. Tatsächlich teilte PhishLabs, ein Unternehmen für Bedrohungsinformationen und -minderung, Brian Krebs mit, dass fast die Hälfte (etwa 49%) aller im dritten Quartal dieses Jahres entdeckten Phishing-Seiten unter HTTPS geladen wurden. Dies, PhishLabs gesagt auf Twitter, ist von 35% während Q2 und 33% während Q1.
Die Betrüger richten aktiv SSL-Zertifikate auf ihren Betrugsseiten ein, teilweise, weil dies einfach ist und sie nichts kostet, und teilweise, weil die Browser-Anbieter Änderungen implementieren. Sie stellen fest, dass Benutzer ihre persönlichen Informationen mit weitaus geringerer Wahrscheinlichkeit an eine Website weitergeben, die unter einer sichtbaren Warnung "Nicht sicher" geladen wird.
Was können wir dagegen tun?
Bedeutet dies, dass die Entscheidung der Browser-Anbieter, sich vom grünen Vorhängeschloss zu entfernen, ein großer Fehler ist? Nein, das tut es nicht. Die einfache Tatsache ist, dass das Schlosssymbol nie mehr so nützlich sein wird wie früher. Wenn dies so bleibt, hat dies keine Auswirkungen auf die aktuelle Situation. Sollten die Betrüger entscheiden, dass sie es benötigen, erhalten sie lediglich ein kostenloses SSL-Zertifikat.
Sollten wir dann nicht kostenlose SSL-Zertifikate loswerden? Nein, wir sollten nicht. Den Anbietern die Möglichkeit zu verweigern, die Daten ihrer Kunden kostenlos zu schützen, ist ein großer Rückschritt und setzt die persönlichen Daten von Millionen von Menschen einer ernsthaften Bedrohung aus. Stattdessen müssen wir möglichst vielen Benutzern beibringen, was HTTPS ist.
HTTPS ist kein Indikator für Vertrauenswürdigkeit. Wenn es nicht vorhanden ist, können Sie sich ziemlich sicher sein, dass die Website, die Sie anzeigen, nicht als vertrauenswürdig eingestuft werden sollte, aber selbst wenn es dort vorhanden ist, sehen Sie sich möglicherweise immer noch einen Betrug an. Es gibt andere Faktoren, denen Sie mehr Aufmerksamkeit schenken sollten.
