domino8351 schrieb:
Allerdigs macht es mich wahnsinnig, dass z.B. ebay unsicher ist. Einloggen geht mit grünem Schloss. Wenn ich eingeloggt bin, ist es aber wieder unsicher und da sind nun mal wirklich sensible Daten gespeichert!
Amazon und Web.de sind sicher! Was läuft hier schief?
Es liegt an der Server-Konfiguration. Ist die Konfiguration nicht korrekt - beabsichtigt oder unbeabsichtigt - werden die Daten nicht verschlüsselt übertragen. Daraufhin weisen moderne Browser hin.
domino8351 schrieb:
Wenn ich das Passwortfeld anklicke kommt die Warnung "Verbindung nicht sicher". Daten könnten mitgelesen werden! Nach dem Einloggen ist in der Adressleiste der graue Kreis mit dem i zu sehen und dem Hinweis "Verbindung nicht sicher"!
Dann ist die Verbindung zwischen Browser und Server nicht sicher und die übertragenen Daten können von Dritte mitgelesen werden.
domino8351 schrieb:
P.S.: Ergänze ich die Http-Seite um das s kommt jetzt, Teile der Seite sind nicht sicher. Vorher blockierte Firefox die Seite komplett!
Es liegt an der Server-Konfiguration. Der HTTPS-Service muss entsprechend konfiguriert werden.
Nachstehend habe ich die Konfiguration von amazon.de mal analysiert:
Certificate information
This server uses an Organizationally Validated (OV) certificate. Information about the site owner has been validated by Symantec Corporation to help secure personal and financial information.
Common name:
www.amazon.de
SAN: amazon.de,
www.amazon.de, origin-www.amazon.de
Valid from: 2016-Oct-24 00:00:00 GMT
Valid to: 2017-Dec-29 23:59:59 GMT
Certificate status: Valid
Revocation check method: OCSP
Organization: Amazon.com, Inc.
Organizational unit: -
City/locality: Seattle
State/province: Washington
Country: US
Certificate Transparency: Embedded in certificate
Serial number: 3a77391ed71193eb1b5523c4647bd71f
Algorithm type: SHA256withRSA
Key size: 2048
Zertifikatskette
Zertifikatsaussteller: VeriSign Class 3 Public Primary Certification Authority - G5
Zertifikatsaussteller: Symantec Class 3 Secure Server CA - G4
Server configuration
Host name: 54.239.32.138
Server type: Server
IP address: 54.239.32.138
Port number: 443
Protocols enabled: TLS1.2, TLS1.1, TLS1.0
Protocols not enabled: SSLv3, SSLv2
Secure Renegotiation: Enabled
Downgrade attack prevention: Enabled
Next Protocol Negotiation: Enabled
Session resumption (caching): Enabled
Session resumption (tickets): Not Enabled
Strict Transport Security (HSTS): Enabled (max-age=47474747; includeSubDomains; preload)
SSL/TLS compression: Not Enabled
Heartbeat (extension): Not Enabled
RC4: Not Enabled
OCSP stapling: Enabled
Analyse für eBay:
https://www.ebay.de/ wird auf
http://www.ebay.de/ umgeleitet.
http://www.ebay.de/ > No SSL Connection.
Wird 'Mein eBay' angeklickt wird auf
https://signin.ebay.de/ umgeleitet. Interessant ist auf welche URL danach umgeleitet wird.
Konfiguration von signin.ebay.de:
Certificate information
This server uses an Organizationally Validated (OV) certificate. Information about the site owner has been validated by Symantec Corporation to help secure personal and financial information.
Common name: signin.ebay.com
SAN: reg.ebay.co.uk, signin.lycos.ebay.com, signin.ebay.com.my, signin.ebay.ph, signin.ebay.pl, . . .
Valid from: 2016-Sep-21 00:00:00 GMT
Valid to: 2018-May-04 23:59:59 GMT
Certificate status: Valid
Revocation check method: OCSP
Organization: eBay, Inc.
Organizational unit: Site Operations-SAN1-V3-CDN
City/locality: San Jose
State/province: California
Country: US
Certificate Transparency: Embedded in certificate
Serial number: 094080803467fdd91c1d030c99929be2
Algorithm type: SHA256withRSA
Key size: 2048
Zertifikatskette
Zertifikatsaussteller: VeriSign Class 3 Public Primary Certification Authority - G5
Zertifikatsaussteller: Symantec Class 3 Secure Server CA - G4
Zertifikatsinhaber: signin.ebay.com
Server configuration
Host name: a23-218-124-88.deploy.static.akamaitechnologies.com
Server type: Apache-Coyote/1.1
IP address: 23.218.124.88
Port number: 443
Protocols enabled:TLS1.2, TLS1.1, TLS1.0
Protocols not enabled: SSLv3, SSLv2
Secure Renegotiation: Enabled
Downgrade attack prevention: Enabled
Next Protocol Negotiation: Enabled
Session resumption (caching): Enabled
Session resumption (tickets): Enabled
Strict Transport Security (HSTS): Not Enabled
SSL/TLS compression: Not Enabled
Heartbeat (extension): Not Enabled
RC4: Not Enabled
OCSP stapling: Not Enabled
Zusammenfassung:
Firefox und Chrome weisen genau daruaf hin, ob die bestehende Verbindung sicher ist oder nicht.
URL: https://blog.mozilla.org/security/ | Ein grünes Sperrschloss ohne dem Namen einer Organisation bedeutet:
- Sie sind mit Sicherheit mit jener Website verbunden, deren Adresse in der Adressleiste angezeigt wird, und die Verbindung wurde nicht abgefangen.
- Die Verbindung zwischen Firefox und der Website erfolgt verschlüsselt, um deren Abhören zu verhindern.
Siehe auch: Domain-validated certificate |
URL: https://www.mozilla.org/de/ | Ein grünes Sperrschloss zusammen mit dem Namen des Unternehmens oder der Organisation in ebenfalls grüner Schrift bedeutet, dass die Website ein „Extended-Validation (EV) “-Zertifikat verwendet oder der Besitzer angegeben ist. Es ist eine Erweiterung zum Domain-validated (DV) Zertifikat.
Siehe auch: Extended Validation Certificate |
URL: https://mixed-script.badssl.com/ | Ein grünes Sperrschloss mit einem grauen Warndreieck zeigt an, dass die Verbindung sicher ist, jedoch hat Firefox unsichere Inhalte am Laden hindert. Möglicherweise arbeitet deshalb diese Seite nicht völlig korrekt oder zeigt Inhalte nur unvollständig an.
Siehe auch Blockierung gemischter Inhalte in Firefox. Dieses Problem muss vom Entwickler der Seite behoben werden. |
URL: https://mpi-lingweb.shh.mpg.de/kanji/index.html?kanji=漢字 | Ein graues Sperrschloss mit gelbem Warndreieck bedeutet, dass die Verbindung zwischen Firefox und der Website nur teilweise verschlüsselt wird und nicht völlig abhörsicher ist. Elemente der Seite werden unverschlüsselt übertragen.
Auch bei einem self-signed Zertifikat wird ein graues Sperrschloss mit gelbem Warndreieck angezeigt, da der Aussteller des Zertifikats CA bzw. nicht validierbar ist. |
URL: http://www.mangaka.de/?action=japanischkurs
 | Ein rot durchgestrichenes graues Sperrschloss bedeutet, dass die Verbindung zwischen Firefox und der Website nicht sicher ist.
Hinweis:
Ein graues Sperrschloss wird bei einer HTTP-Verbindung nur angezeigt, wenn (Anmelde-)Daten eingegeben werden können. |
Siehe auch
Wie kann ich feststellen, ob meine Verbindung zu einer Website verschlüsselt erfolgt?
