Was ist SSL?
SSL (&Secure Socket Layer) ist ein Sicherheitsstandard, der ursprünglich von der Firma Netscape speziell zum Schutz des World Wide Web (WWW) entwickelt wurde. Informationen zur Technik finden Sie z.B. bei Wikipedia oder im Buch „Sicherheit und Kryptographie im Internet“ von J. Schwenk.
Wie erkenne ich, ob eine Webseite SSL-verschlüsselt übertragen wurde?
Die Kommunikation zwischen Ihnen und dem Server ist verschlüsselt, wenn ein geschlossenes Vorhängeschloss als Symbol in der unteren Browserleiste auftaucht. Dies ist bei allen Browsern der Fall. Ist das Vorhängeschloss geöffnet, oder ist es nicht vorhanden, so werden die Daten ungeschützt übertragen. In diesem Fall dürfen keine Passwörter, PINs, TANs oder Kreditkartennummern eingegeben werden.
Wie erkenne ich, ob eine Webseite wirklich vom gewünschten Server (z.B. einem Onlinebanking-Server) stammt?
Auch hier hilft SSL weiter. Nach einem Doppelklick auf das Schlosssymbol öffnet sich ein Informationsfenster.
In diesem Fenster werden Informationen zum Zertifikat (eine Art elektronischer Ausweis) angezeigt, den man für SSL benötigt. Der Name, der hier hinter „Ausgestellt für“ steht, muss mit dem Namen der Webseite identisch sein, die Sie aufgerufen haben.
Wer stellt solche Zertifikate aus?
Es gibt eine Reihe von Firmen, die sich auf die Ausstellung von SSL-Zertifikaten spezialisiert haben. Diese Firmen überprüfen in der Regel sehr sorgfältig, wem die Web-Adresse gehört, bevor sie ein solches Zertifikat ausstellen. Es gibt aber auch die Möglichkeit, Zertifikate selbst zu erzeugen. Dies kann von Hackern dazu ausgenutzt werden, eine SSL-geschützte Verbindung zum Hackerserver aufzubauen. Sie können einen solchen Versuch an der folgenden Warnmeldung erkennen (die für die verschiedenen Browser unterschiedliche aussehen kann).
Sollte Ihr Browser Ihnen diesen oder einen ähnlichen Warnhinweis geben, sollten Sie sicherheitshalber auf „Nein“, „Abbrechen“ oder „Zurück“ klicken.
Schützt SSL auch gegen Pharming?
Ja, SSL kann auch gegen Pharming schützen. Ein Angreifer kann beim Pharming zwar die Zuordnung des Servernamens (z.B. www.musterbank.de) zu einer IP-Adresse ändern, er kann aber nicht das SSL-Zertifikat für www.musterbank.de fälschen. Sie erhalten in diesem Fall eine Warnmeldung ähnlich wie oben dargestellt.