Werkzeug "HTTPS Everywhere": Besser alles verschlüsseln

Die US-Netzbürgerrechtsorganisation Electronic Frontier Foundation (EFF) hat eine neue Software vorgestellt, mit der Nutzer im Internet sicherer unterwegs sein sollen. HTTPS Everywhere wird als kostenloses Zusatzprogramm für den Browser Firefox verteilt und sorgt dafür, dass Verbindungen im Web immer dann verschlüsselt erfolgen, wenn dies möglich ist. Bislang musste man dafür oft von Hand sorgen.

Der Bedarf für ein solches Werkzeug ist groß: Wer im Web surft, surft in der Regel unsicher. Alle Daten vom PC des Nutzers zum Internet-Server werden im Klartext übertragen, egal ob man bei Google etwas sucht oder bei Facebook mit seinen Freunden spricht.

Die in jedem Browser seit Jahren eingebaute Verschlüsselungstechnik SSL (erkennbar am Adressvorlauf https://) wird vor allem dann verwendet, wenn es wirklich notwendig ist: Beim Übertragen von Kreditkartendaten beispielsweise oder beim Online-Banking; manchmal auch beim Anlegen eines neuen Accounts in einem Internet-Shop oder auf einer Spielewebsite.

SSL-geschützte Verbindungen

Dabei wäre es sinnvoll, möglichst viel des eigenen Datenverkehrs mit SSL zu schützen: Unterwegs können Andere die Klartextkommunikation unter Umständen mitlesen, beispielsweise in offenen WLAN-Netzen wie am Flughafen oder im Internet-Cafe. Der Datenverkehr lässt sich mit wenig Aufwand abfangen, der Zugang zur Lieblingswebsite, zum Twitter- oder Facebook-Account ist also unsicher.

Viele Websites bieten bereits eine SSL-Verschlüsselung an, darunter auch Facebook und Twitter, wo sie allerdings von Hand ausgewählt werden müssen. Hinzu kommt, dass manchmal nur Teile der Verbindung abgesichert sind.

HTTPS Everywhere ("SSL überall") automatisiert den Prozess: Die Software leitet alle Eingaben im Browser und alle Seitenabrufe automatisch auf SSL-geschützte Verbindungen um, sollten diese verfügbar sein, was sich aus einer eingebauten Datenbank ergibt. So wird etwa http://www.taz.de, weil es die Seite auch per SSL gibt, auf https://www.taz.de/ umgeleitet (ganz geschützt geht das allerdings noch nicht, weil bestimmte Teile der Seite noch von Nicht-SSL-Servern nachgeladen werden müssen).

Google kann man auf diese Weise ab sofort genauso verschlüsselt besuchen wie Facebook oder die New York Times. Selbst Seiten von Supermärkten, Unternehmen und Online-Shops werden umgeleitet, sollte es eine SSL-Version geben.

Phishing-Schutz

Die Datenbank in HTTPS Everywhere wird ständig erweitert und kann mit wenig Programmieraufwand selbst ergänzt werden. Sinn des Projektes ist es nach Angaben der EFF, Nutzer wie Unternehmen darauf aufmerksam zu machen, dass es die Verschlüsselungstechnik längst gibt und sie künftig als Standard eingesetzt werden sollte. HTTPS Everywhere soll außerdem einen gewissen Druck ausüben, die Kapazitäten bestehender verschlüsselter Server zu erhöhen beziehungsweise mehr davon zu fordern.

Ein Beispiel ist das Online-Lexikon Wikipedia: Dort kann man zwar geschützt auf den Seiten lesen, alle Bilder, die vom Server "uploads.wikimedia.org" stammen, werden aber nach wie vor unverschlüsselt übertragen, was Rückschlüsse auf die angesurften Seiten erlaubt.HTTPS Everywhere hilft außerdem bei Phishing-Angriffen: So werden etwa auch beim Zahlungsdienstleister PayPal stets SSL-Seiten angefordert. Sollte ein Angreifer versuchen, solche Seiten über eine unsichere Verbindung zu leiten, um das Passwort abzufangen, beißt er auf Granit: HTTPS Everywhere nutzt stets die SSL-Version.

Die Datenbank des Werkzeugs enthält außerdem Hinweise auf Seiten, die noch Probleme machen. So ist etwa das Surfen im Online-Shop Amazon derzeit nur teilweise verschlüsselt möglich, während eine SSL-Übertragung vom Werbedienstleister Doubleclick dafür sorgt, dass manche Nachrichtenseiten plötzlich nicht mehr funktionieren. Für viele andere Seiten funktioniert HTTPS Everywhere aber zuverlässig.