Gerade eine Aktualisierung auf den Firefox 42 gemacht und wieder ein paar kleine Änderungen in der Adressleiste beim Schlosssymbol entdeckt: Er zeigt das Schlosssymbol jetzt scheinbar auch bei allen beglaubigten Verbindungen in grün an, egal ob die Verbindung ein Extended-Validation-Zertifikat verwendet oder ein einfaches Class 1 oder Class 2 Zertifikat. Nur bei einem Extended-Validation-Zertifikat zeigt er natürlich weiterhin noch auffällig Informationen über den Inhaber an; da hat sich also nichts verändert. Außerdem kriegt man jetzt bei unsicheren Verbindungen beim Klick auf die Weltkugel und den Pfeil folgenden Hinweis angezeigt:
Ihre Verbindung zu dieser Website ist nicht vertraulich. Von Ihnen übermittelte Informationen (wie Passwörter, Nachrichten, Kreditkartendaten, usw.) können von Anderen eingesehen werden.
Und der zukünftige Firefox 44 stellt Plaintext-HTTP-Seiten als unsicher dar, wenn diese ein Loginformular enthalten. Im Normalfall würde bei der unsicheren Verbindung noch einfach nur die Weltkugel angezeigt werden, aber das ändert sich dann, sobald auf dieser unsicheren Seite ein Loginformular vorhanden ist. Denn egal ob das Formular nach dem Absenden über eine sichere Verbindung übertragen wird oder nicht: Ein aktiver Angreifer, der das über Plaintext-HTTP angefragte Formular bereits abgefangen hat, kann mit einer SSL-Stripping-Attacke das Ziel des Loginformulars so manipulieren, dass die Daten weiterhin über eine unsichere Verbindung gesendet und von ihm abgefangen werden können.
Ich begrüße diese Maßnahmen der Browserhersteller um die durchgängige Verschlüsselung im Web voranzutreiben. Vielleicht bringen diese neuen Warnhinweise weitere Webseitenbetreiber dazu, auf verschlüsselte Verbindungen umzustellen. Man muss auch kein Geld für ein Class 1 Zertifikat ausgeben, das völlig ausreicht.
Zertifizierungsstellen wie StartSSL aus Israel stellen schon lange kostenlose Class 1 Zertifikate aus, die jedes Jahr verlängert werden können. Und dann gibt es bald auch noch LetsEncrypt, welches sich aber noch in der Betaphase befindet und mit dem ich mich noch nicht ausführlich beschäftigt habe.
