Warum es immer noch wichtig ist zu wissen, was HTTPS ist
Das Internet hat sich still und leise von einem unverschlüsselten offenen System zu einem verschlüsselten System entwickelt, und die meisten Nutzer haben kaum bemerkt, dass das geschah. Ungefähr zwischen 2014 und 2018 wurde HTTPS von etwas, das viele Websites als optional betrachteten, zu etwas, das von jeder ernsthaften öffentlichen Website erwartet wurde. HTTPS ist die geschützte Version von HTTP, dem grundlegenden System, mit dem Browser Websites anfordern und Seiten zurückerhalten. Der wichtige Unterschied besteht darin, dass HTTPS die Verbindung zwischen Ihrem Browser und der Website verschlüsselt, sodass das Netzwerk dazwischen normalerweise nicht lesen oder unbemerkt verändern kann, was gesendet wird. Doch als HTTPS zum Standard wurde, machten Browser es auch weniger sichtbar. Statt den Menschen die Technologie unter der Seite zu zeigen, machen moderne Browser das Problem meist nur dann sichtbar, wenn etwas nicht stimmt: ein Hinweis „Nicht sicher“, ein Warnsymbol oder ein anderes dezentes Signal, dass die Verbindung nicht geschützt ist. Dadurch entsteht eine seltsame Situation, in der eines der wichtigsten Sicherheitsupgrades in der Geschichte des Webs die Menschen heute jeden Tag schützt, während viele von ihnen nie gelernt haben, was es ist, was es tut oder was es nicht tut.
Es ist nicht überraschend, dass viele Menschen die Begriffe HTTPS oder SSL noch nie gehört haben, selbst wenn sie ihre berufliche Laufbahn im Umfeld von Internetunternehmen verbringen. Browser zeigen diese Details weiterhin an, wenn man sich durch die Adressleiste klickt, aber die meisten Menschen haben wenig Anlass, danach zu suchen, und das, was dort steht, würde ohne Kontext nicht viel bedeuten. In gewisser Weise ist das nachvollziehbar, denn HTTPS wurde zum erwarteten Standard, und Menschen sollten nicht jedes Mal über Zertifikate nachdenken müssen, wenn sie eine Website öffnen. Aber ich denke, dass dabei etwas verloren gegangen ist. Solange normales HTTP noch funktioniert, entsteht eine Wissenslücke, wenn die Sprache zu gut verborgen wird. Das Ergebnis ist, dass Begriffe wie HTTP, HTTPS und SSL völlig unbekannt wirken können, obwohl HTTPS Teil der vollständigen Adresse fast jeder ernsthaften Website ist, die Menschen nutzen, nur eben nicht mehr etwas, das Browser den Menschen normalerweise direkt vor Augen führen.
Der Grund, warum das wichtig ist, liegt darin, dass das Internet kein direkter privater Tunnel von Ihrem Computer zu einer Website ist. Ihre Verbindung durchläuft auf dem Weg dorthin andere Systeme. Dazu können Ihr heimischer Router, ein WLAN-Netzwerk in einem Café, ein Büronetzwerk, ein Hotelnetzwerk, Ihr Internetanbieter und weitere Infrastruktur zwischen Ihnen und der Website gehören, die Sie besuchen. Bei normalem HTTP können Teile dieses Austauschs für Systeme entlang des Weges sichtbar sein. HTTPS hat das geändert, indem es die Verbindung deutlich schwerer von außen einsehbar oder manipulierbar gemacht hat. Es hat nicht jede Website vertrauenswürdig gemacht, und es hat nicht jedes Risiko im Internet verschwinden lassen, aber es hat das gewöhnliche Surfen deutlich privater gemacht, als es früher war.
Eine einfache Möglichkeit, normales HTTP zu verstehen, ist, dass es Teile Ihres Surfens eher wie eine Postkarte als wie einen versiegelten Umschlag wirken lassen kann. Die Nachricht kommt vielleicht trotzdem dort an, wo sie ankommen soll, aber die Systeme, die sie unterwegs verarbeiten, können möglicherweise mehr sehen, als Sie erwarten würden. Das bedeutet nicht, dass jeder Netzwerkbetreiber dort saß und den Datenverkehr der Menschen las, aber die Konstruktion ließ mehr offen, als die meisten Menschen heute annehmen würden. Wenn Sie sich bei einem Konto anmeldeten, ein Formular abschickten, eine private Seite lasen oder Inhalte über öffentliches WLAN luden, bot Ihnen die Verbindung selbst nicht denselben Schutz, den Menschen heute vom modernen Web erwarten.
Diese Veränderung ist wichtig, weil das Web aufgehört hat, ein Ort zu sein, an dem Menschen nur öffentliche Seiten lesen. Menschen begannen, Websites zu nutzen, um Dinge zu kaufen, sich bei Banken anzumelden, Unternehmen zu verwalten, private Nachrichten zu senden, Dokumente hochzuladen, Passwörter zurückzusetzen und Kreditkarteninformationen einzugeben. Ohne dass HTTPS normal geworden wäre, würde sich all das, besonders in gemeinsam genutzten Netzwerken, sehr anders anfühlen. Öffentliches WLAN in einem Café, an einem Flughafen, in einem Hotel, in einer Schule oder in einem Büro wäre wahrscheinlich ein viel zu großes Risiko. Es würde sich wie ein Ort anfühlen, an dem gewöhnliches Surfen ein deutlich offensichtlicheres Datenschutzrisiko mit sich bringt. HTTPS ist einer der Gründe, warum Menschen das Web als alltägliche Infrastruktur behandeln können, statt als etwas, dem sie im Grunde nicht vertrauen können.
Deshalb ist es immer noch wichtig, den Unterschied zu verstehen. HTTPS ist heute weit verbreitet, aber es ist keine Magie, und es ist nicht garantiert, nur weil eine Website existiert. Eine Website muss für die Nutzung von HTTPS konfiguriert sein, und idealerweise sollte sie Menschen auch von HTTP auf das geschützte HTTPS-Protokoll weiterleiten. Viele Plattformen erledigen das inzwischen automatisch, aber irgendwo im Stack ist es weiterhin eine Einrichtungsentscheidung. Wenn ein Server falsch konfiguriert ist, ein altes Lesezeichen auf die falsche Adresse verweist oder ein Link mit HTTP statt HTTPS geschrieben wurde, kann eine Person immer noch auf einer ungeschützten URL einer Website landen, sofern diese nicht richtig konfiguriert wurde. Diese Unterschiede sind der Hauptgrund, warum es immer noch wichtig ist zu verstehen, was HTTPS ist.
WebCull hat in diesem Zusammenhang kürzlich eine kleine, aber wichtige Änderung vorgenommen. Wir haben bereits ein Schloss angezeigt, wenn eine gespeicherte URL HTTPS verwendete, ähnlich wie Browser oft signalisieren, dass eine Verbindung geschützt ist. Die neue Änderung konzentriert sich auf die andere Seite dieses Zustands. Wenn eine gespeicherte URL noch normales HTTP verwendet, zeigt WebCull jetzt direkter „Kein HTTPS“ an und gibt dem Nutzer eine klare Option, HTTPS mit einem einzigen Klick einzuschalten. Das ist wichtig, weil Lesezeichen alte Versionen des Webs an Ort und Stelle einfrieren können. Eine Website unterstützt heute vielleicht HTTPS, aber ein altes Lesezeichen, ein kopierter Link oder eine manuell gespeicherte URL kann immer noch auf http:// statt auf https:// verweisen. In diesem Fall hat sich die Website vielleicht weiterentwickelt, die gespeicherte Adresse jedoch nicht. Ein Lesezeichen kann eine alte oder unvollständige Adresse lange bewahren, nachdem die Website selbst weitergezogen ist. Eine Website unterstützt heute vielleicht HTTPS, aber wenn das Lesezeichen vor Jahren gespeichert, von einer alten Seite kopiert oder mit http:// statt https:// geschrieben wurde, kann die gespeicherte URL immer noch auf die ungeschützte Version verweisen. In diesem Fall besteht das Problem nicht darin, dass die Website keine sichere Version hat. Das Problem ist, dass der gespeicherte Link nicht aufgeholt hat, und WebCull versucht zu helfen, indem es Sie klar darauf aufmerksam macht. Die meisten Menschen müssen nicht die vollständige Geschichte von SSL, Zertifikaten oder Webverschlüsselung verstehen, um das Internet sicher zu nutzen. Aber sie sollten wissen, dass HTTP und HTTPS nicht dasselbe sind, und Software sollte klar anzeigen, wenn ein Browser oder Lesezeichen-Manager HTTPS nicht verwendet. Die Änderung von WebCull ist ein kleiner Teil davon: die sicherere Version eines gespeicherten Links leichter erkennbar, leichter nutzbar und weniger wahrscheinlich hinter einer alten Adresse verborgen zu machen.
Browser erledigen bereits viel von dieser Arbeit, sobald eine Seite geöffnet ist. Sie zeigen Website-Informationen, Verbindungsdetails, Warnungen und „Nicht sicher“-Meldungen an, wenn etwas nicht stimmt. Lesezeichen-Manager behandeln URLs jedoch normalerweise als einfache gespeicherte Links. Sie speichern die Adresse, den Titel und vielleicht ein Symbol, aber sie helfen dem Nutzer normalerweise nicht zu verstehen, ob die gespeicherte Adresse die geschützte Version der Website verwendet. Das ist wichtig, weil der Browser erst ins Spiel kommt, nachdem der Link geöffnet wurde. Wenn die gespeicherte URL selbst noch HTTP verwendet, ist der Lesezeichen-Manager einer der wenigen Orte, an denen dieses Problem bemerkt werden kann, bevor der Nutzer klickt.
WebCull versucht, bei diesem Übergang eine kleine Rolle zu spielen. Browser tragen bereits einen großen Teil der Verantwortung dafür, Menschen zu helfen, sicherer im Web zu surfen, aber Lesezeichen-Manager tun oft nicht genug, um die gespeicherten Adressen zu schützen, zu denen Menschen später zurückkehren. Klarere HTTPS-Indikatoren hinzuzufügen, zu warnen, wenn eine gespeicherte URL noch normales HTTP verwendet, und Nutzern eine einfache Möglichkeit zu geben, alte Links zu aktualisieren, sind kleine Änderungen, aber sie helfen dabei, die sicherere Version des Webs sichtbarer zu machen, statt sie im Hintergrund verborgen zu lassen.