ComputerBase Menü
Aktuelles

https + Firefox-Erweiterung

W

Woddow

Newbie
Registriert
Mai 2011
Beiträge
2
Servus,

heutzutage muss alles immer sicher sein so auch Online-Shops. Nun habe ich aber auch schon öfter entdeckt, dass aus dem http plötzlich ein https wird. Ich habe mich dazu schon ein bisschen belesen und bei Wikipedia gefunden, dass https (Hypertext) ein Protokoll der Übertragung ist. Alle wichtigen Daten werden also gesichert übermittelt und so geschützt.

Eine Frage habe ich dazu dennoch, denn auf http://www.globalsign.de/ssl-informationszentrum/was-ist-ssl.html wird erklärt, dass das Schloss-Symbol eine wichtige Bedeutung hat.. Sobald eine sichere Verbindung besteht, soll das Schloss dargestellt werden. Dieses Symbol habe ich in bisher keinem Browser bemerkt. Soll das heißen, dass bisher alle Verbindung unsicher waren? Die Website erklärt auch, dass das Schloss bei SSL auftaucht. Es handelt sich hierbei auch um ein Sicherheitsprotokoll, aber unterscheidet sich das von HTTPS?

Was soll eigentlich die Identitätsanzeige im Firefox sein? Die findet man beim Favicon. Selbst wenn man darauf klickt, passiert nichts weiter. Erst wenn man sich z. B. bei Facebook einloggen möchte, erscheint die Anzeige. Dann erscheint auch, dass ich im Augenblick mit www.facebook.com, www.amazon.de, www.neu.de, www.ebay.de oder www.google.de verbunden bin. Soll das auch etwas mit einer gesicherten Verbindung zu tun haben?

Folgendes würde ich noch gern wissen: Und zwar geht es um HTTPS Everywhere von http://www.chip.de/downloads/HTTPS-Everywhere-fuer-Firefox_43521096.html. Angeblich soll jede Website anonym besucht werden können. Meinen die das ernst? Eigentlich ist man doch immer zurückzuverfolgen? Hat das Add-on irgendeinen Nutzen für mich als Anwender? Was macht das Add-on alles? Auf der offiziellen Website von Firefox https://addons.mozilla.org/de/firefox/ ist das Add-on gar nicht aufgelistet. Ist es nicht mehr aktuell?

Wäre super, wenn ihr mir das Protokoll erklären könntet.

Danke und bis dann
 
Das Beispiel zeigt den IE.

SSL = TLS = HTTPS

So sieht es im FF4 aus:
Ergänzung ()

So wie ich das jetzt verstehe ist "HTTPS Everywhere" nur für die Handvoll Seiten die auf der Seite der Entwickler gelistet sich gedacht die HTTPS unterstützen es jedoch standardmäßig nicht nutzen.

Wäre super, wenn ihr mir das Protokoll erklären könntet.
Zum Vergrößern anklicken....

Ohne Kenntnis von HTTP & Verschlüsslung, Zertifikaten... ist das nicht zu erklären.
Kurz und knapp, HTTP = unverschlüsselt, HTTPS = verschlüsselt

http://www.softed.de/fachthema/https.aspx
 

Anhänge

  • 2011-05-24 23 49 59.jpg
    2011-05-24 23 49 59.jpg
    38,3 KB · Aufrufe: 158
Zuletzt bearbeitet:
Woddow schrieb:
Sobald eine sichere Verbindung besteht, soll das Schloss dargestellt werden. Dieses Symbol habe ich in bisher keinem Browser bemerkt. Soll das heißen, dass bisher alle Verbindung unsicher waren?
Zum Vergrößern anklicken....
Also direkt zu deiner Frage.. Ja, wenn Du Daten oder Felder auf Internetseiten ausgefüllt hast, wo das Schloss nicht war, dann hast Du diese Daten unverschlüsselt übertragen. Und warum das nicht jede Seite hat, ist eine einfache Kosten- / Nutzen- Frage ;)

Online-Shops die seriös wirken wollen werden aber definitiv eine SSL Verschlüsselung verwenden. Wenn es nicht sofort beim einkaufen passiert, wird es spätestens auftauchen wenn man zur Kasse geht ;)

Es gibt zwei unterschiedliche Arten von SSL Zertifikate, ein einfaches SSL Zertifikat was in der Adresszeile einen blauen Balken anzeigt, und ein erweitertes Zertifikat was dann einen grünen Balken darstellt (siehe Anhang).

Das grüne Zertifikat wird z.B. von der Deutschen Bank oder der Sparkasse verwendet, oder von Firmen die wert darauf legen dieses Zertifikat zu verwenden. Wenn man nun in einem Onlineshop unterwegs ist, wo beim Bestellvorgang dann ein grüner Balken auftaucht, kann man sich sehr sicher sein das der Shop der dahinter steht auch wirklich der Shop ist. Ich wollte erst für eine unserer Domains in der Firma das Zertifikat mit dem grünen Balken bestellen, aber der Aufwand und nutzen ist noch nicht so groß.

Im groben und ganzen ist diese Verschlüsselungssache für jede kleinere die nichts besonderes hat nur eine Kostenfrage.

Joa.. Ich hoffe mal ich hab nichts vergessen und konnte auch mit meinem geschreibsel ein wenig erklären.

Gruß, Domi
 

Anhänge

  • ssl01.jpg
    ssl01.jpg
    146,3 KB · Aufrufe: 164
So sieht es bei Computerbase aus (Bild).
Für eine Https-Verbindung muss ein Zertifikat von einer vertrauenswürdigen Stammzertifizierungsstelle vorhanden sein. Bei W7 siehst du die Stammzertifizierungsstellen mit "certmgr.msc", die per Update aktualisiert werden. In FF unter Erweitert - Verschlüsselung. Inwieweit das jetzt mit W7 abgeglichen wird weiß ich nicht.

Bei Computerbase: UTN-USERFirst-Hardware..., siehe "Zertifikat anzeigen.

HTTPS kannst du zum Beispiel fürs Login verwenden, damit Benutzername und PW verschlüsselt übertragen werden.

Hat FF ein Schloss im Browser? Nur der IE, oder?
 

Anhänge

  • Computerbase-Zertifkat.PNG
    Computerbase-Zertifkat.PNG
    326,9 KB · Aufrufe: 162
Vielen Dank für die ersten Antworten, das geht ja echt richtig fix bei euch :)

Okay, also sind diese verschiedenen Portokolle (SSL, HTTPS, ...) eigentlich alle das gleiche. Das hat mich auch irgendwie verwundert. Warum braucht man denn auch so viele komplett unterschiedliche Protokolle?

Also sagt dieser blaue/grüne Balken nicht wirklich etwas aus und ist eher eine Spielerei für Online-Shops/Websites, die damit ausdrücken wollen, dass sie dieses Zertifikat nutzen.

Vielen Dank für eure Erklärungen :)
 
Woddow schrieb:
...Also sagt dieser blaue/grüne Balken nicht wirklich etwas aus und ist eher eine Spielerei für Online-Shops/Websites, die damit ausdrücken wollen, dass sie dieses Zertifikat nutzen...
Zum Vergrößern anklicken....

Wie marcol1979 schon schrieb!

Absolut keine Spielerei.
1. Https zeigt an, dass eine Webseite SSL-Verschlüsselt überträgt, also abhörsicher. Überall wo du deinen Namen, besonders in Verbindung mit einer Zahlung, eingibst muss die Verbindung SSL-Verschlüsselt sein (HTTPS im Browser).
2. SSL/TLS beim Mail-Versand/Empfang zeigt an, dass der Mailversand und besonders Benutzername und Passwort verschlüsselt übertragen wird. Mail-Versand/Empfang NIE ohne SSL/TLS betreiben, lieber Provider wechseln.
3. Ich würde sogar Onlinebanking in einem offenem WLAN machen, denn da hilft nur HTTPS-Verbindung. Jetzt gibts gleich/bald eine berechtigte Diskussion! :D (Keylogger, Schadsoftware ...).
 
Beim Threadstarter gibt es wohl noch Unklarheiten, was SSL eigentlich wirklich ist.

HTTP ist ein Kommunikationsprotokoll auf Textbasis, mit dem Browser bei einem Webserver anfragen, was sie für Daten geliefert haben wollen. Das kann zB so aussehen:
Browser schickt:
GET /infotext.html HTTP/1.1
Host: www.example.net
Zum Vergrößern anklicken....
Server sendet:
HTTP/1.1 200 OK
Server: Apache/1.3.29 (Unix) PHP/4.3.4
Content-Length: (Größe von infotext.html in Byte)
Content-Language: de
Connection: close
Content-Type: text/html

(Inhalt von infotext.html)
Zum Vergrößern anklicken....
Das ist ziemlich einfach zu verstehen.

SSL selber ist ein Mechanismus mit der man eine Verbindung verschlüsseln kann, sodass man diese vom Menschen lesbaren HTTP-Daten nicht mehr zwischendurch abfangen bzw. nicht mehr lesen kann.
Das läuft vereinfacht gesagt so ab:
Browser ruft die Seite auf.
Server sendet das Zertifikat.
Browser überprüft die Echtheit des Zertifikats bei den bekannten Zertifizierungsstellen.
Browser nimmt das Zertifikat und verschlüsselt damit alle weiteren HTTP-Daten.
Server sendet verschlüsselte HTTP-Daten zurück.
Browser nimmt die Daten an, entschlüsselt sie und interpretiert die HTTP-Daten.
usw.

So lange die Zertifizierungsstellen nicht kompromittiert wurden, ist SSL mit Zertifikaten sehr sicher. Bis jetzt ist mir in den ganzen Jahren erst ein Fall bekannt geworden, wo eine Zertifizierungsstelle gehackt wurde und gefälschte Zertifikate ausgestellt wurden. Das wurde aber fast sofort bemerkt und wieder berichtigt.
 
Das Ganze wird zwar den TE etwas irritieren, denn er sagt sich auch bestimmt, "das Ganze ist doch gar nicht sicher wie man sieht".
Da kann ich nur erwidern, dass man die Zertifikate als sicher ansehen kann, wenn man den eigentlichen Zweck dafür betrachtet, nämlich die Verbindung Browser-Server abhörsicher zu machen.
Wer aber mit krimineller Energie an diesen Schutz heran geht wird bald eine unzweckmäßige Verwendung finden. Auch ist der sorglose Umgang mit den Zertifikaten zu bemängeln.

Und, das Ganze geht ja noch weiter und wird aktuell bleiben:
http://www.heise.de/newsticker/meldung/Vorschlaege-zur-Zukunft-der-Zertifikate-1220064.html
und
https://datatracker.ietf.org/doc/draft-hallambaker-donotissue/?include_text=1
von Philip Hallam-Baker und Rob Stradling von Comodo und Ben Laurie von Google vom 10.05.2011.
"...Der Vorschlag Hallam-Bakers (Comodo) sieht im Kern vor, mittels eines neuen Resource Records (RR) im DNS zu hinterlegen, welcher Zertifikatsanbieter für die entsprechende Domain überhaupt Zertifikate ausstellen darf...".

Hier gibt es noch eine interesssante Stellungnahme:
http://www.ceilers-news.de/serendipity/104-Der-SSL-Hack-schlimmer-geht-immer.html
"...Das ganze hat nur zwei Schönheitsfehler: Im aktuellen Fall wären danach immer noch für die Domains gefälschte Zertifikate ausgestellt worden, für die Comodo zuständig ist, und außerdem lässt sich der Eintrag der CA so wie die gesamte Antwort auf eine DNS-Abfrage fälschen, solange nicht DNSSEC verwendet wird. ...

...Ich glaube, ich werde das Comodo-Root-Zertifikat aus meinen Browser rausschmeißen. Denen kann ich jetzt einfach nicht mehr vertrauen. Die betreiben einen Dienst, der die Richtigkeit von Zertifikaten prüft, und rechnen nicht mit gezielten Angriffen darauf? So naiv kann man doch gar nicht sein. Wie viele Schwachstellen die wohl sonst noch haben? Nein, das war eine rhetorische Frage, dass will ich gar nicht so genau wissen. Irgendwie fehlt mir jetzt der Glaube an die Aussage, es seien keine weiteren gefälschten Zertifikate ausgestellt worden. Ob die das wirklich so genau wissen?

Und wer der ominöse "Global Trustee" ist, für den ein Zertifikat ausgestellt wurde, wissen wir auch noch nicht. Das alles gefällt mir ganz und gar nicht. Was hat man da denn zu verbergen? ..."


Hier noch etwas bei FF-Community:
http://www.camp-firefox.de/forum/viewtopic.php?f=12&t=88580
Und wie gesagt, im certmgr sieht man auch die "Nicht vertrauenswürdigen Zertifikate". ;)
Ergänzung ()

Wenn wir schon bei Zertifikaten sind:
Ich habe bemerkt, dass der IE mit einer Zertifikatssperrliste arbeitet und auch überprüft (Einstellung beachten, siehe Link), jedoch keine Sperrliste im FF eingetragen ist. Ich habe dann diese Seite gefunden und alle eintragen lassen, unter "Extras - Einstellungen - Verschlüsselung - Zertifikatssperrliste. Teste gerade...
Ich habe aber keine Info darüber unter Mozilla gefunden :rolleyes: oder nicht lange genug gesucht.
http://www.rz.rwth-aachen.de/aw/cms...rwth_ca_global_policy_zertifikatsper/?lang=de
 
Zuletzt bearbeitet:
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

M
Werbung und Datensammeln blocken - Erfahrungen mit DNS - Forge
Antworten
4
Aufrufe
599
entest
E
M
Firefox Speicherbedarf und firemin
2 3
Antworten
59
Aufrufe
1.267
cartridge_case
cartridge_case
Cin-Hoo
Dienstprogramm "JavaScript-Oracle" in Firefox permanent aktiv
Antworten
7
Aufrufe
703
2002Andreas
2002Andreas
MonteDrago
Floorp: Vivaldi Alternative auf Firefox Basis
Antworten
3
Aufrufe
701
MonteDrago
MonteDrago
F
Was sind Proxys, Socks5, HTTPS etc. und wozu benutzt man sie?
2
Antworten
37
Aufrufe
2.512
TowerTower
T
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz