Häufig gestellte Fragen

In einem Café, das öffentliches WLAN nutzt, führt ein Angreifer einen SSL-Stripping-Angriff durch, indem er die sichere HTTPS-Verbindung eines Benutzers abfängt und zu einer unsicheren HTTP-Verbindung herabstuft, so dass er sensible Daten wie Anmeldeinformationen abfangen und möglicherweise unbefugten Zugriff auf Online-Konten erhalten kann.

Link kopieren

SSL-Stripping ist eine Art von Man-in-the-Middle-Angriff, der auf die sichere Kommunikation zwischen einem Benutzer und einer Website abzielt, indem die sichere HTTPS-Verbindung zu einer unsicheren HTTP-Verbindung herabgestuft wird.

Link kopieren

Dies ist eine Millionen-Dollar-Frage, auf die es keine endgültige Antwort gibt. Nach Angaben von Edward Snowden, dem berühmten Whistleblower, arbeitet die NSA daran. Der New Yorker fasst Snowdens Behauptungen und die Untersuchungen des Guardian und der New York Times darüber zusammen, wie die NSA versucht hat, das Netz zu knacken.

Link kopieren

Tools wie SSLstrip und BEAST (Browser Exploit Against SSL/TLS) führen spezifische Angriffe gegen SSL/TLS-Implementierungen durch, sind aber keine SSL-Verschlüsselungsknacker. Beide nutzen bekannte Schwachstellen in bestimmten SSL/TLS-Versionen oder -Konfigurationen aus, um verschlüsselte Kommunikation abzufangen oder zu manipulieren. Wichtig ist, dass diese Tools in erster Linie auf Schwachstellen in der Protokollimplementierung abzielen und nicht auf das direkte Knacken der zugrunde liegenden Verschlüsselung.

Link kopieren

Die SSL-Verschlüsselung ist nicht “geknackt” worden, was die grundlegenden kryptographischen Algorithmen betrifft. Schwachstellen und Angriffe treten nur auf, wenn das Zertifikat in betrügerischer Absicht ausgestellt oder durch unsachgemäße SSL-Konfiguration und -Verwaltung beeinträchtigt wird.

Link kopieren

Der vertrauenswürdigste Typ eines digitalen Zertifikats ist das Extended Validation (EV) SSL-Zertifikat. EV-Zertifikate durchlaufen einen strengen Validierungsprozess, bei dem die Zertifizierungsstelle die Identität und Legitimität der Organisation gründlich überprüft. Dazu gehört die Überprüfung der rechtlichen Existenz, des Standorts und des Betriebsstatus.

Link kopieren

Sie können die Zertifikatsdetails über Ihren Webbrowser einsehen. Besuchen Sie zunächst die Website, für die Sie das SSL-Zertifikat haben. Klicken Sie auf der Website auf das Vorhängeschloss-Symbol in der Adressleiste. Daraufhin werden die Informationen zum SSL-Zertifikat angezeigt. Suchen Sie die Option “Zertifikat” oder “Zertifikatsdetails” und klicken Sie darauf, um die Details anzuzeigen.

Link kopieren

Die Art der SSL-Zertifikate spielt eine große Rolle. Genauso wie Domain Validation SSL nicht für E-Commerce- und Finanz-Websites geeignet ist, macht es keinen Sinn, ein Premium EV-Zertifikat für einen Blog oder ein kleines Unternehmen zu erwerben. Wenn Sie nicht wissen, welche Art von Zertifikat Sie benötigen, verwenden Sie den SSL-Assistenten, um sofortige Empfehlungen zu erhalten, die auf Ihre spezifischen Bedürfnisse und Ihr Budget zugeschnitten sind.

Link kopieren

Um festzustellen, ob ein Zertifikat selbstsigniert ist, prüfen Sie das Ausstellerfeld in den Zertifikatsdetails. Wenn der Aussteller mit dem Betreff identisch ist (oder der Aussteller nicht von einer vertrauenswürdigen CA erkannt wird), handelt es sich wahrscheinlich um ein selbstsigniertes Zertifikat.

Link kopieren

Ein selbstsigniertes Zertifikat bietet zwar eine gewisse Verschlüsselung, ist aber dennoch weniger sicher als ein von einer vertrauenswürdigen Zertifizierungsstelle ausgestelltes Zertifikat. Es ist jedoch besser, ein selbstsigniertes Zertifikat zu haben als gar kein Zertifikat, wenn eine Verschlüsselung erforderlich ist.

Link kopieren