HTTPS ist teures Sicherheitstheater – revisited

Vor ziemlich genau einem Jahr schrieb ich, daß der von Google und anderen interessierten angestrebte Zwang zu HTTPS nicht nur ein Angriff auf das offene Web, sondern auch – um Dave Winer zu zitieren – ein teures Sicherheitstheater sei. Nun kommt eine weitere Bestätigung: HTTPS ist nicht nur ein teures, sondern auch ein sinnloses Schierheitstheater! So warnen heute – laut Tante Heise – Sicherheitsforscher die Hersteller von Anti-Viren-Software und fordern sie auf, die Finger weg von HTTPS zu lassen, denn bei deren Kontrolle verschlüsselter Verbindungen auf Malware würden sie HTTPS gefährden. Bei T3N gibt es dazu ein paar Zahlen.

Ja, wie denn nun? Soll ich die eingehenden Verbindungen nicht mehr überprüfen dürfen und mir fahrlässig sämtliche Trojaner, Viren, Erpressungssoftware und was sonst als Malware noch meine IT-Infrastruktur gefährdet ins Haus holen? Oder gestehen endlich die Zwangsbeglücker von Google, Mozilla und anderen ein, daß HTTPS ein teurer und sinnloser Irrweg ist, der nicht nur eine fadenscheinige Sicherheit, die gar nicht existiert, vorgaukelt, sondern eben auch dadurch, daß nichtverschlüsselte HTTP-Verbindungen zu Internetbürgern zweiter Klasse degradiert werden, das freie und offene Web gefährdet.

Von den Schwierigkeiten, eine lückenlose Zwertifikatskette bis zu einem Root-Zertifikat auf aktueller Sicherheitsstufe (SHA-3) überhaupt zu bekommen, will ich gar nicht erst reden. Also hört endlich auf, uns mit der sinnlosen Forderung nach »HTTPS everywhere« zu nerven. Verschlüsselung da, wo sie sinnvoll ist: Ja! Ich will auch nicht, daß meine Passwörter und persönlichen Daten unverschlüsselt durch die Gegend geistern. Aber HTTPS zum Beispiel bei diesem Blog Kritzelheft, das nur aus statischen Seiten besteht? Das ist blinder und teurer Sicherheitsaktionismus, der nicht die Sicherheit verbessert, sondern sie im Zweifelsfalle sogar aushebelt.

1 (Email-) Kommentar

Das sehe ich anders.
Auch wenn öffentlich zugängliche Seiten ohne Anmeldung keine sensiblen Daten wie Passwörter etc. übertragen so verschleiert die Übertragung per https meines Wissens trotzdem welche exakte Seite auf dem host aufgerufen wurde. Für uns in Deutschland mag das ein Detail sein, dass nur für Aluhutträger relevant ist, aber in einigen Ländern mag es einen Unterschied machen ob jemand schockwellenreiter.de/subversiver-eintrag oder schockwellenreiter.de/hundefoto aufruft. Bei einer verschlüsselten Verbindung sieht man im Mitschnitt meines Wissens nur, dass eine Verbindung zu schockwellenreiter.de aufgebaut wurde.
Weiterhin macht Verschlüsselung MITM Attacken schwierieger, vor allem in Verbindung mit HSTS und HPKP.
Ein weiterer Grund für Verschlüsselung ist meiner Meinung nach, dass man nicht fragen sollte ob es nötig ist gewisse Inhalte zu verschlüsseln, sondern, dass man sich fragen sollte was spricht dagegen zu verschlüsseln. Wenn wirklich nur sensible Daten wie Passwörter beim Login verschlüsselt werden ist Verschlüsselung ein Hinweis auf wichtige Daten, quasi ein lohnenswertes Ziel. Ist aber sämtlicher Datenverkehr verschlüsselt fällt diese Selektierung für unsere geliebten three-letter-agencies schon mal flach.
Deshalb versuche ich in meinem Popelblog mit wenigen Besuchern, keiner Übertragung von sensiblen Benutzerdaten oder brisanten Informationen trotzdem alle derzeit möglichen Sicherheitsverfahren umzusetzen. Aus dem gleichen Grund aus dem der Hund tut was er kann.

– Martin D. (Kommentieren) (#)

(Kommentieren)