Firefox mit ausgeblendeten https Zertifikat

  • Hallo, ich habe gestern gelesen das der Firefox 70 mit ausgeblendeten https Zertifikat ist. Dadurch mache mir gerade etwas Sorgen um die Sicherheit in der Zukunft. Gerade über die das eingeblendete https Zertifikat hatte ich vor einiger Zeit festgestellt das etwas mit meinem Browser nicht stimmt. Um es kurz zu erklären, ich wurde bei Paypal auf eine Phishing Seite geleitet ohne das ich etwas gemerkt hatte. Https wurde als grün angezeigt und misstrauisch wurde ich letztendlich dadurch, dass ich zwei mal meine Mail Adresse eingeben musste. Selbst die Deinstallation von Firefox, bzw das Löschen der Festplatte hatte nichts gebracht. Letztendlich funktionierte erst nach der Sicherheitsformatierung beider Festplatten alles wieder normal. Seit dem schau ich immer wieder auf den Schriftzug der https Anzeige um sicher zu sein, dass ich auch auf der richtigen Seite bin. Ich fände es weniger gut wenn das wegfallen würde. Auch wenn die Beschreibung noch aufrufbar ist, der einfache, schnelle Überblick ist dann weg. :( Ach ja. Ich bin, was Downloads und Webseiten angeht doch eher vorsichtig, um eben solche Sachen zu vermeiden.

    2 Mal editiert, zuletzt von nirdan () aus folgendem Grund: Fehlerbeseitigung, Text Korrektur

  • nirdan

    Hat den Titel des Themas von „Nightly mit ausgeblendeten https Zertifikat“ zu „Firefox mit ausgeblendeten https Zertifikat“ geändert.
  • der Firefox 70 mit ausgeblendeten https Zertifikat ist


    Ich verstehe nicht, was dieser Satz bedeuten soll. Aber so, wie sich das liest, bin ich mir fast sicher, dass du irgendetwas falsch verstanden hast. Ich empfehle dir den Artikel auf unserer Website:


    Firefox 70: Änderung der Darstellung von HTTP und HTTPS in Adressleiste

    Dadurch mache mir gerade etwas Sorgen um die Sicherheit in der Zukunft


    Es gibt überhaupt keinen Grund, sich um die Sicherheit Sorgen zu machen, ganz im Gegenteil. Vier von fünf Anfragen in Firefox sind bereits HTTPS und nicht mehr HTTP:


    https://letsencrypt.org/stats/#percent-pageloads


    Es ergibt also nicht mehr viel Sinn, HTTPS hervorzuheben, weil das ganz einfach die Norm ist. Dafür wird in Zukunft hervorgehoben, wenn die Norm nicht eingehalten wird, sprich die Übertragung unverschlüsselt ist. Wenn das überhaupt einen Einfluss auf die Sicherheit hat (wohlgemerkt wenn), dann verbessert es die Sicherheit, weil dein Bewusstsein dafür geschärft wird, wenn Seiten noch eine unverschlüsselte Übertragung nutzen. Denn das gefährdet deine Sicherheit. Schließlich geht es nicht darum, dass du siehst, dass eine Seite das macht, was du im Jahr 2019 schlicht erwarten darfst. Wenn es dir um Sicherheit geht, solltest du vor allem davor gewarnt sein, wenn eine Seite dir diese grundlegende Sicherheit nicht bietet. Und genau das macht Firefox ab Firefox 70: Es stellt Websites, welche kein HTTPS nutzen, ausdrücklich als unsicher dar. Das war bislang nicht der Fall. Wenn 80 Prozent aller Seiten hervorgehoben werden (und die Zahl ist immer weiter steigend; irgendwann sind es 85 Prozent, dann 90 Prozent, …), dann hat das keinen Nutzen. Dann wird man höchstens blind für das, was wirklich relevant ist.


    In dem von mir verlinkten Artikel steht übrigens auch, wie du den Hinweis darauf, dass kein HTTPS verwendet wird, noch deutlicher gestalten kannst, indem Firefox dann neben dem durchgestrichenen Schloss-Symbol, welches Standard ab Firefox 70 ist, zusätzlich noch den Text "Nicht sicher" anzeigt. Das macht es dann noch einfacher für dich.


    Allerdings:


    ich wurde bei Paypal auf eine Phishing Seite geleitet ohne das ich etwas gemerkt hatt


    HTTPS schützt nicht vor Phishing! Da sitzt du einem großen Irrtum auf. Selbst Phishing-Seiten nutzen HTTPS. HTTPS kostet nicht einen Cent und kann wirklich jeder haben. Nicht einmal ein EV-Zertifikat schützt dich vor Phishing:


    https://www.typewritten.net/writer/ev-phishing/


    Wie man in dem Artikel lesen kann, ist es sogar recht einfach für eine Phishing-Seite, ein EV-Zertifikat zu erhalten. Es ist ein großer Fehler, das überzubewerten. Darum macht es auch nichts, dass Firefox das ab Version 70 auch nicht mehr in der Adressleiste besonders hervorhebt, denn der Nutzen davon ist seit Jahren schon höchst umstritten. Nutzer verbinden das gerne mit einer zusätzlichen Sicherheit, die das aber überhaupt nicht bedeutet. Es kann Phishing sogar erleichtern!


    Ein weiterer lesenswerter Artikel über die Probleme von EV-Zertifikaten:

    https://stripe.ian.sh/


    EV-Zertifikate sind ein schönes Geschäft, denn die kosten gutes Geld, während normale Zertifikate mittlerweile häufig kostenlos sind. Aber sonst haben diese wenig bis gar keinen realen Nutzen*, wie die beiden Artikel eindrucksvoll belegen.


    *) Gut, für große Unternehmen wie Banken ist es natürlich ein sehr realer Nutzen, dass sie dadurch Vertrauen schaffen. Aber eben auch nur auf der Grundlage, dass Nutzer im Allgemeinen damit überhaupt nichts anfangen können und glauben, ein ein EV-Zertifikat macht den Unterschied zwischen vertrauenswürdig und nicht vertrauenswürdig. In gewissen Positionen muss man das natürlich bedienen.

  • Danke für deine ausführliche Antwort. Die Links habe ich noch nicht genutzt, werde es wahrscheinlich auch nicht, weil du mein Anliegen (meine Sorge) mitunter beantwortet hast. Gerade der letzte Abschnitt mit dem * ist das was mir Sorgen macht. Eben Banken, oder ähnliches. In wie weit zumindest bei solchen Seiten dieser vertrauensaufbauenden Texte eingeblendet werden muss ich mal bei dem einen Link nachlesen. Ich hoffe, dass das dort irgendwie berücksichtigt wurde.

  • Gerade der letzte Abschnitt mit dem * ist das was mir Sorgen macht. Eben Banken, oder ähnliches.


    Verstehe ich nicht. Gerade nach meiner Erklärung sollte dir doch klar sein, dass es überhaupt keinen Grund gibt, dir Sorgen zu machen. :/


    In wie weit zumindest bei solchen Seiten dieser vertrauensaufbauenden Texte eingeblendet werden muss ich mal bei dem einen Link nachlesen. Ich hoffe, dass das dort irgendwie berücksichtigt wurde.


    Muss überhaupt nicht. Ich weiß nicht, was genau du hoffst, denn es ist ja nun bekannt, was in Firefox 70 geändert wird. Die Änderungen stehen. Daran wird nichts mehr geändert.

  • ... lesen bildet.... Ich habe mir gerade die Infoseite von den Änderungen durchgelesen. Die bisherige Anzeige bleibt ja noch über die about:config verfügbar. Das muss vorab reichen. Der Rest wird sich dann später zeigen.


    Danke nochmal.