Munscheidstr. 14 in 45886 Gelsenkirchen

Jetzt anrufen 0209 - 8830 6760

HTTPS Everywhere – Ein Plugin für deine Sicherheit im Internet

M.Sc. Chris Wojzechowski

Ständig ist man auf der Suche nach irgendwelchen Informationen aus dem Internet. Häufig gehts über die Suchmaschine – aber eben nicht immer! Manche Websites haben sich einfach in unseren Frontallappen gebrannt. Sei es, weil es sie schon seit den 90ern gibt, oder wir sie in der Werbung aufgeschnappt haben. Oft bleibt die sichere Verbindung zu der Website auf der Strecke. Auch wenn es Sie vielleicht gibt.

Der Nutzer müsste eigentlich das https://vorher eintippen

Die Eingabe des entsprechenden Protokolls hat sich jedoch nie etabliert. Teilweise, wie auch auf dieser Website, fällt schon das „www“ weg. Das „www“ trägt jedoch nicht dazu bei, eine sichere Verbindung aufzubauen. Das tut nur das „https“ vor der Internetadresse. Gibt man das https:// jedoch ein, obwohl es gar keine sichere Verbindung zur Website gibt, dann landet man auf einer Error-Seite die so aussieht:

HTTPS Everywhere macht hier keinen Sinn. Eine sichere Verbindung wird nicht angeboten.
So sieht eine Seite aus, die zwar mit https://… angesteuert wird, aber eine sichere Verbindung erst gar nicht anbietet.

 

Voraussetzung für eine verschlüsselte Verbindung ist also, dass diese Verbindung auch möglich sein muss. Leider nicht so trivial wie es klingt. (Siehe Bild oben.)

Hier kommt HTTPS Everywhere ins Spiel!

Eine verschlüsselte Verbindung, wenn es sie denn gibt, ist auf manchen Seiten nur eine Alternative. Der Nutzer muss also selbst aktiv werden. Und genau dort setzt HTTPS Everywhere1 an. Das von der EFF2 und dem Tor Project3 entwickelte Plugin soll euch einen automatischen, sicheren Zugang zu Seiten eröffnen. Ohne das ihr an das https:// denken müsst!

Die Entwickler dieses Plugins pflegen eine Liste mit Websites, die eine unsichere und sichere Version anbieten. Installiert man sich jetzt HTTPS Everywhere4, dann prüft das Plugin ob es nicht eine sichere Version der Website gibt und leitet gegebenenfalls auf diese um.

Gefälschtes Zertifikat? HTTPS Everywhere hat ein gutes Gedächtnis.

Ist die Website in dem Pool der gelisteten Websites von der EFF5 gelistet, dann ist auch hinterlegt welches Zertifikat auf der Seite zu finden war. Wird einem nun ein anderes Zertifikat untergejubelt, weil man z.B. einem Man-in-the-Middle Angriff zum Opfer gefallen ist, dann produziert das Plugin eine Warnung.

Ein verdammt großes Gedächtnis hat HTTPS Everywhere!

Welche Websites befinden sich in der Datenbank von HTTPS Everywhere6? Davon kann man sich einen Eindruck vermitteln, wenn man den HTTPS Everywhere Atlas7 besucht. Interessiert ob einige Seiten gelistet sind? Dann einfach mithilfe der Navigation den Anfangsbuchstaben auswählen und los suchen.

Der HTTPS Everywhere verschafft einem Übersicht über alle gelisteten Webseiten.
Interessiert daran, welche Webseiten HTTPS Everywhere listet? Dann riskiert man einen Blick in den Atlas!

 

Bedienbarkeit und Handhabung von HTTPS Everywhere

Das Plugin wird momentan für den Firefox Browser angeboten, wie auch für den von Google stammenden Chrome Browser. Sobald das Plugin installiert ist findet man das Logo neben der Suchleiste wieder. Mit einem Klick öffnet sich das Menü. Hier könnt ihr das Plugin dann ein/ausschalten so wie auch sämtliche HTTP Anfragen blockieren lassen. Letzteres ist ein besonders harter Kurs. Das surfen im Netz ist so nicht mehr ohne Weiteres möglich. Ist aber mal interessant anzuschalten, um zu sehen wie viele Websites noch unverschlüsselte Verbindungen aufbauen.

Das Einstellungsmenü von HTTPS Everywhere am Chrome Browser
Dies ist das Einstellungsmenü von HTTPS Everywhere8 auf dem Chrome Browser

Fazit für das verwenden des HTTPS Everywhere Plugins

Die Namensgebung des Addons vermittelt den Eindruck das HTTPS Everywhere9 jede Verbindung zu einer Website verschlüsselt. Das ist aber nicht der Fall. Es werden lediglich Anfragen von Websites auf die sichere Seite umgeleitet, die auch in der Datenbank sind! Das Tool lebt also von einer gut gepflegten Liste. Bedenklich an dieser Stelle ist die Kommunikation zu der Organisation EFF – denn um zu prüfen ob es eine sichere Website gibt, muss die EFF überhaupt erst einmal wissen um welche Website es  geht.

Deshalb weiß die EFF welche Websites ihr anfragt! Die EFF verspricht natürlich, die entsprechenden Anfragen anonym zu behandeln. In wie weit man der Organisation aber Vertrauen schenkt sollte jeder für sich entscheiden. Das Plugin selbst ist unter der GPLv3 Lizenz veröffentlicht und damit, wie auch GitHub10 zu sehen, öffentlich einsehbar. Es handelt sich hier also um Open Source. Falls ihr euch aber dagegen entscheidet, probiert es manuell mit dem https:// !

Quellen und weitere Informationen

[1] HTTPS Everywhere – Downloaden & Webseite
[2] HTTPS Everywhere – auf GitHub
[3] HTTPS Everywhere Atlas
[4] EFF – Electronic Frontier Foundation
[5] Tor Project


Erkennen Sie zuverlässig Phishing E-Mails?

Jetzt das AWARE7 Phishing Quiz absolvieren
und das eigene Wissen überprüfen!


Anleitungen und Videos

HTTPS Everywhere auf dem Firefox installieren


Hat Ihnen der Beitrag gefallen? Gerne benachrichtigen wir Sie, wenn wir einen neuen Beitrag veröffentlicht haben. Tragen Sie jetzt Ihre E-Mail-Adresse ein. Für Sie entstehen keine Kosten.


Foto des Autors

M.Sc. Chris Wojzechowski

Mein Name ist Chris Wojzechowski und ich habe vor wenigen Jahren meinen Master in Internet-Sicherheit in Gelsenkirchen studiert. Ich bin einer von zwei Geschäftsführern der AWARE7 GmbH und ausgebildeter IT-Risk Manager, IT-Grundschutz Praktiker (TÜV) und besitze die Prüfverfahrenskompetenz für § 8a BSIG. Unser Brot und Buttergeschäft ist die Durchführung von Penetrationstests. Wir setzen uns darüber hinaus für ein breites Verständnis für IT-Sicherheit in Europa ein und bieten aus diesem Grund den Großteil unserer Produkte kostenfrei an.