Firefox warnt vor www.bahn.de
Keine gesicherte Verbindung: Ab Firefox 63 erscheint beim Aufruf von Webseiten, die TLS-Zertifikate von Symantec, Thawte, GeoTrust und RapidSSL einsetzen, eine Warnung.
Foto: COMPUTER BILD
Die Warnung „Die Verbindung ist nicht sicher!“ sollten Sie bei Ihren Ausflügen ins Netz nur selten zu sehen bekommen. Doch das ändert sich künftig! Denn Google und Mozilla entziehen allen vom Sicherheitsspezialisten Symantec ausgestellten Zertifikaten das Vertrauen. Bereits im Frühjahr 2018 hatten die Browser-Hersteller begonnen, älteren Zertifikate zu misstrauen. Mit den für Oktober 2018 erwarteten Updates auf Firefox 63 sowie Chrome 70 werden ausnahmslos alle Symantec-Zertifikate als nicht vertrauenswürdig eingestuft. Mittlerweile hat Apple nachgezogen und vergleichbare Maßnahmen angekündigt.

Chrome, Firefox & Co.: Keine sichere Verbindung


Chrome warnt vor www.paypal.com
Auch Google ist misstrauisch und verweigert ab Chrome 70 den Aufruf entsprechend gesicherter Webseiten.
Foto: COMPUTER BILD
Davon sind nicht nur Webseiten betroffen, die Zertifikate des Sicherheitsunternehmens einsetzen, auch diejenigen, die sich auf den Sicherheitsanbieter beziehen, trifft der Vertrauensentzug. Entsprechend gilt das auch für Beglaubigungen von Zertifizierungsstellen wie Geotrust, VeriSign, RapidSSL. Eine Liste mit betroffenen Webseiten führt etwa auch die Web-Angebote von PayPal, Mobile.de und der Bahn auf. Ältere Analysen zählten bis zu 100.000 betroffene Webseiten. Die Browser-Hersteller rechtfertigen die drastische Maßnahme mit einem nachhaltig gestörten Vertrauen in die Zuverlässigkeit der Infrastruktur von Symantec. Hintergrund für die Maßnahme ist der Vorwurf gegenüber Symantec, mehrfach unberechtigte TLS-Zertifikate ausgestellt zu haben, darunter auch ein falsches Zertifikat für google.com. Das hätte etwa Dritten ermöglicht, sich in den verschlüsselten Datenverkehr zwischen Google und seinen Nutzern einzuklinken und Daten abzugreifen.

Zertifikate: Mehr Sicherheit beim Surfen


Um die Daten von Internetnutzern besser zu schützen, setzt die überwiegende Mehrheit der Web-Angebote auf HTTPS-Verbindungen. Dabei werden die Daten zwischen Webserver und Browser verschlüsselt übertragen. Vorteil: So kann niemand mitlesen oder gar Daten manipulieren, wenn Sie Ihre E-Mails abrufen oder bei Facebook posten. Der Standard dafür ist das Verschlüsselungsprotokoll SSL, genau genommen dessen Nachfolger TLS. Doch damit das zuverlässig funktioniert, setzt das System auf digitale Zertifikate, ausgegeben von unabhängigen Zertifizierungsstellen, kurz CAs („Certificate Authority“). In der Praxis funktioniert das so: Rufen Sie etwa Facebook auf, lässt sich der Browser zuerst das Zertifikat der Seite zeigen und prüft, ob es von einer vertrauenswürdigen Stelle ausgestellt wurde, noch gültig ist und zu der aufgerufenen Webseite gehört. Erst wenn alle drei Prüfungen erfolgreich abgehakt sind, erscheint keine Fehlermeldung und der Browser beginnt mit dem eigentlichen Datenaustausch. Im Falle von Symantec schlagen Chrome und Firefox jetzt schon bei der ersten Prüfung Alarm, da Symantec nicht mehr in dem von den Browser-Herstellern geführten Pool der vertrauenswürdigen CAs gelistet ist.

» Kostenloser Virenschutz: Die besten Schutzprogramme gratis

Was tun?


Als normaler Internetnutzer können Sie lediglich betroffene Zertifikate per Ausnahmeregel als vertrauenswürdig einstufen. Allerdings sollten Sie das nur tun, wenn Sie die Webseite kennen und dem Betreiber vertrauen. Andernfalls besteht das Risiko, dass Sie Dritten Zugriff auf sensiblen Daten gewähren. Werden in dem konkreten Fall keine sensiblen Daten (etwa Zugangsinformationen) übertragen, versuchen Sie besser, das „s” bei https zu entfernen und so eine unverschlüsselte Version der Webseite anzufordern. Grundsätzlich sind hier die Webseitenbetreiber gefordert, neue Zertifikate für ihre Angebote anzulegen.