To HTTPS Or Not To HTTPS

Dave Winer wettert ja schon seit geraumer Zeit gegen Googles Versuche, Webseitenanbieter zu zwingen, ihre Seiten mit HTTPS auszuliefern. Nun will der Suchmaschinen-Gigant auch noch so weit gehen, daß er standardkonforme, stinknormale HTTP-Seiten in seinem Browser Chrome bald mit einem fetten roten Kreuz als »unsicher« markieren will. Und wenn man Winers Informanten trauen darf, will Mozilla dieser schlechten Praxis folgen. Winer hält diesen Zwang zu HTTPS (in meinen Augen zu Recht) für einen Angriff auf das offene Web. Denn HTTPS ist teuer und kompliziert und daher nur für große Unternehmen machbar. Kleine und/oder private Anbieter – wie zum Beispiel auch dieses Blog Kritzelheft, aber auch Vereinsseiten und Seiten politischer Initiativen – werden dadurch untergebuttert und zu Netzteilnehmern zweiter Klasse abgewertet.

Ich habe einen Selbstversuch gestartet: Der Schockwellenreiter und auch mein dazugehörendes Wiki bestehen ja bekanntlich aus statischen Seiten, die auf Amazons S3 gehostet und ausgeliefert werden. Nun bietet Amazons seit kurzem den AWS Certificate Manager an, der vollmundig verspricht

AWS Certificate Manager ist ein Service, mit dem Sie problemlos SSL- und TLS-Zertifikate (Secure Sockets Layer/Transport Layer Security) zur Verwendung mit AWS-Services bereitstellen und verwalten können.

Und vor allem:

Durch AWS Certificate Manager bereitgestellte SSL-/TLS-Zertifikate sind kostenlos. Sie zahlen nur für die AWS-Ressourcen, die Sie zum Ausführen Ihrer Anwendung erstellen.

Fein, dachte ich mir. Ich sehe zwar wirklich keinen großen Sinn darin, statische Seiten verschlüsselt auszuliefern, aber wenn es geht und nichts kostet …

Also habe ich so ein Zertifikat beantragt und es nach einigen Schwierigkeiten – PIN-Eingaben über Durchwahl-Telephone scheint Amazon nicht zu können – auch bekommen. Aber als ich dann meine S3-Buckets zu HTTPS-Seiten machen wollte, bekam ich die folgende Fehlermeldung:

You can use AWS Certificate Manager certificates only with Elastic Load Balancing and Amazon CloudFront.

Also tschüss, HTTPS. Ich werde wohl ein Netzteilnehmer zweiter Klasse bleiben. Vielleicht kann ich mich mit Winers Aussage »Why HTTPS will never be required in browsers« oder mit seinem Sarkasmus

I’m thinking of forking Chrome to create a browser that can only be used to read scripting.com.

trösten. Aber ich muß ihm Recht geben, Solange es keine einfache, kostenlose und auch für meine Großmutter nachvollziehbare Möglichkeit gibt, HTTPS einzusetzten, ist jeder von den Big Companies verlangte Zwang zu HTTPS ein Angriff auf das offene Web. Lassen wir uns daher von den Anzug- und Bedenkenträgern nicht vorschreiben, wie das offene Web auszusehen hat. Denn das offene Web sind du und ich, nicht Google und Mozilla.

---

3 (Email-) Kommentare

---

Was macht ein SSL Zertifikat sicher. Das Vertrauen. Mehr nicht.
Und wer entscheidet bzw. sind diese “Vertrauer”? In diesem Fall der Browserhersteller (es gibt auch andere Einsatzmäglichkeiten…). Denn diese bestimmen welche Anbieter von Zertifikaten in Ihrem Speicher schon hinterlegt sind. SCHON HINTERLEGT SIND. Mehr nicht. Kein extra zusatz-super-duper-schutz. Der Unterscheid zwischen der-browser-jammert und der browser-zegit-dolle-grüne-leisten bei einem SSL Zertifikat, ist das das eine dem Browser hinterlegt und als “Vertrauenswürdig” hinterlegt ist und das andere nicht.
Technisch gibt es zwischen denen Zertifikaten erst mal kein Unterschied. Das kann jeder. Man braucht kein Rechenzentrum um ein Zertifikat zu erstellen. Das kann jeder selbst.
Habe ich für einer meiner Seiten auch schon getan. Dabei auch erklärt warum der Browser sich beschwert. https://www.neoterisch.de/ssl.html
Sobald man dieses dem Browser hinterlegt sind die ersten Warnungen verschwunden. Die nächste Stufe zum grünen Info-Dingens wäre sich bei einem “Vertrauenswürdigen” Anbieter einzukaufen damit dieser den eigenen Eintrag mit in die Liste mit aufnimmt.
Das Argument dies können sich nur große Firmen leisten ist leider somit nicht ganz richtig. Und wegen dem Geld darauf zu verzichten? Der Schutz wird dadurch nicht besser.
Dave Winer in allen Ehren, aber eine Seite(http://scripting.com/) zu betreiben die ohne Cookies NICHT funktioniert geht einfach nicht. Sorry. Dies dann auch noch von Drittanbietern wie Google Daten nachladen will…

– Johannes K. (Kommentieren) (#)

---

Und in meinem Firefox (mit uBlock, Ghostery usw.) lädt Winers Blog erst gar nicht… Er will wohl nicht mehr gelesen werden…

– Juergen F. (Kommentieren) (#)

---

Warum https grundsätzlich sinnvoll ist, egal ob statisch oder nicht, siehe http://arxiv.org/pdf/1602.07128v1.pdf
Leider führt das Certificate Authority (CA) System das ganze wieder ad absurdum: Ich will nicht dass mir die CA von Puerto Rico oder wo auch immer bestätigen kann, welches meine Bank-Webseite ist. Ich will eine einfache Möglichkeit den Public Key meiner Bank direkt auf meine Geräte zu bekommen und mit genau meiner Bank Webseite zu verknüpfen. Ich will auch nicht dass mir mein Handi oder mein Ubuntu sagt der von mir erzeugte und importierte Publik Key meines Servers sei unsicher, nur weil er nicht von der CA aus Puerto Rico zertifiziert wurde. Let’s encrypt ist auch nur eine Krücke in dieser Hinsicht (aber vielleicht genau was man momentan braucht für einen Wechsel auf ein besseres System).
Aber HTTPS ohne zentrale CA ist eine tolle Sache. Das ist der Knackpunkt und der Lösungsansatz. Keybase.io geht in die richtige Richtung, ist aber noch lange nicht dort wo Benutzerfreundlichkeit anfängt.

– Ingo K. (Kommentieren) (#)

---

(Kommentieren)