1

Mit dem Service von Let's Encrypt steht die Möglichkeit zur Verfügung, kostenlos Zertifikate für Webserver zu erhalten um die Webseite per HTTPS, also verschlüsselt, zugänglich zu machen. Für den Webserver Apache kann das Zertifikat automatisch erzeugt, signiert und installiert werden. Für Nginx ist in der Let's Encrypt-Installation zwar ein Modul enthalten, dieses ist nach eigenen Angaben jedoch noch nicht für den produktiven Einsatz ausgelegt. ...weiterlesen "Let’s Encrypt, Nginx und viele Hosts"

Wie vielleicht einigen Lesern aufgefallen sein dürfte, erzwinge ich seit Längerem einen verschlüsselten Abruf der Webseiteninhalte auf meinem Blog mit HTTPS. Warum eigentlich? In diesem Blog werden keine persönlichen Daten oder gar Kreditkartennummern übertragen. Einen Schutz mit Verschlüsselung braucht es also eigentlich gar nicht, oder?

Doch, meine ich. Denn jeder, der Zugang zum Übertragungsweg zwischen einer aufgerufenen Webseite und Eurem Browser hat kann ohne Verschlüsselung mitlesen, welchen Artikel Ihr gerade aufruft, was Ihr lest, wo Ihr kommentiert. Mit diesen Daten lassen sich Interessenprofile erstellen, an denen nicht nur Firmen interessiert sind.

HTTPS verhindert, dass Seitenaufrufe durch andere protokolliert werden können. Ein Mitleser würde nur erkennen können, dass Ihr dieses Blog besucht, nicht aber, was gelesen wird. Es ist also nicht nur eine technische Spielerei, sondern in gewisser Weise auch ein Schutz für Euch.

(Grafik von Yuri Samoilov)

Beim Surfen werden Inhalte zwischen Browser und Webserver normalerweise unverschlüsselt mit dem Hypertext Transfer Protokoll (kurz http) übertragen. In einer ungesicherten Umgebung, z.B. in einer Firma oder auch auf einem nicht vertrauenswürdigen Computer, der irgendwo im Internet gerade an der aktuellen Übertragung beteiligt ist, kann diese Übertragung mitgeschnitten und so leicht mitgelesen werden. Aus diesem Grund erfolgt die Informationsübertragung z.B. beim Bezahlen im Netz oder auch beim Onlinebanking immer über das verschlüsselnde Protokoll https. Ein Mitschnitt solch einer Verbindung kann nicht oder nur mit enormem Aufwand wieder entschlüsselt werden. Zu sehen ist in einem solchen https-Mitschnitt nur der Aufruf bestimmter Webseiten, nicht aber deren Inhalte oder gar die vom Surfer eingegebenen Informationen wie z.B. Adresse oder Bankverbindung bei einer Bestellung im Netz.

Da immer mehr Menschen in sozialen Netzwerken unterwegs sind und diese z.B. auch in der Arbeit nutzen, wäre es also durchaus sinnvoll, auch die dort übertragenen Informationen zu verschlüsseln. Facebook und Twitter bieten diese Möglichkeit an, sie muss allerdings vom Benutzer manuell aktiviert werden. Bei Google+ wird https standardmäßig verwendet. ...weiterlesen "Verschlüsselte Übertragung bei Facebook, Google+ und Twitter"