Also wen ndas Zertifikat noch nicht abgelaufen ist und meine Systemzeit stimmt - ist es dann immer gesagt, dass ein Angriff durchgeführt wird?
meiner erfahrung nach ist es beim "normalen" surfen so gut wie nie ein "angriff", wenn der browser meldet, dass er ein problem mit dem zertifikat hat.
ein zertifikat hat grundlegend zwei funktionen:
- es ist soetwas wie ein reisepass fuer den server, mit dem er seine identitaet gegenueber eines browsers (oder anderen clients) nachweisen kann,
- es ermoeglicht dir, verschluesselt mit dem server zu plaudern.
Wie kan nich das feststellen / testen?
dafuer muss man sich zuerst anschauen,
wie "das mit den zertifikaten" eigentlich funktioniert und
was ich ueberpruefen moechte.
wie wird ein zertifikat gemacht und wann ist es gueltig?
fuer jeden server admin ist es eine routine angelegenheit selbst-signierte SSL zertifikate die technisch 100 % korrekt funktionieren, zu erstellen und fuer verschiedenste services anzubieten. das alleine genuegt aber nicht, damit dein browser
keine warnung ausspuckt, wenn du z. B. zu einen mailserver verbindest, der ein selbst signiertes zertifikat verwendet. gleiches gilt fuer websites, die du oeffnest.
damit dein browser das beliebte gruene vorhaengeschild in der adressleiste zeigt anstatt sich zu beschweren, muss man sein zertifikat auch noch von einer allgemein anerkannten zertifizierungsstelle unterschreiben lassen; und die
machen das meistens nicht kostenlos.
umgekehrt kann man sich auch nicht auf die fehlermeldung im browser alleine verlassen. der browser zeigt mir schliesslich nur, ob fuer die geoffnete domain ein offiziell unterschriebenes zertifikat mitgeschickt wurde. ob das wirklich der server ist, auf dem ich sein moechte, weiss er prinzipiell nicht. hat eine phishing-site ein gueltiges zertifikat fuer ihre domain, dann wird der browser das auch ohne warnung akzeptieren solange die seite nicht auf einer blacklist gelandet ist.
wie gesagt, zertifikate kosten in der regel geld. die guenstigste variante ist die signierung einer einzelnen domain, z. B.
www.irgendeinedomain.de. ist die gleiche seite etwa auch ueber eine zweite subdomain erreichbar, sagen wir, webshop.irgendeinedomain.de, dann wuerde der browser sich ueber ein ungueltiges zertifikat beklagen, wenn man die subdomain ansurft. die funktionstuechtigkeit der verschluesselung ist davon nicht betroffen; technisch ist das zertifikat ja einwandfrei. es wurde lediglich nur ein zertifikat fuer "www" gekauft und nicht fuer "webshop".
wie ich entscheide ob es ein problem gibt
groessere unternehmen, die genuegend umsatz mit ihren webauftritten verdienen sind auf das vertrauen ihrer besucher angewiesen und kuemmern sich in der regel darum, dass es keine probleme mit den zertifikaten gibt. sie werden auch die ca. EUR 170,-- jaehrlich fuer ein wildcard zertifikat (gueltig fuer mehrere subdomains) natuerlich locker schlucken und dieses problem nicht haben. wuerde ich zB im website-kundenbereich meines handyanbieters oder meiner bank auf ein ungueltiges zertifikat stossen, wuerden bei mir die alarmglocken zu leuten beginnen.
bewege ich mich hingegen auf einer kleinen (privaten) seite, auf der ich vorallem keine sensiblen daten eingebe, mache ich mir wegen einer zertifikats-warnung kaum gedanken. muss ich sensible daten eingeben, vergewissere ich mich nach logischen gesichtspunkten ob ich wirklich auf der richtigen seite bin. sprich: hab ich wirklich die korrekte domain eingetippt? irgendwelche rechtschreibfehler im domainnamen? steht in der fehlermeldung, dass sich die signatur des servers geaendert hat? faellt mir am design der seite irgendetwas auf oder hat sich der aufbau veraendert als ich das letzte mal hier war? im zweifelsfall nach der website googlen oder eine kurze suche auf search.twitter.com (meistens faellt einem anderen soetwas auch auf).
wenn ich immer noch zweifle, kontakt zum betreiber aufnehmen bevor ich etwas persoenliches auf der seite eintippe.
