Um im Internet wirklich sicher unterwegs zu sein, gehört eine ordentlich verschlüsselte Verbindung zu den Webseiten zu den wichtigsten Dingen. In den letzten Jahren hat, nicht zuletzt durch die erleichterte Beschaffung von kostenlosen TLS-Zertifikaten mittels Let’s Encrypt, der Anteil der Server mit HTTPS-Unterstütung deutlich zugenommen. Umso verwunderlicher, dass manche Seiten standardmäßig immer noch keine verschlüsselte Verbindung anbieten.
Unterstützt der Server auf dem die Seite liegt, erst gar keine HTTPS-Verbindungen, so bleibt einem nichts anderes übrig, als die Website nicht zu nutzen (z.B. wenn dort Passwörter oder andere sensible Daten eingegeben werden müssen) oder mit der unverschlüsselten Verbindung vorlieb zu nehmen.
Manche Website bietet jedoch die nötige Verschlüsselung an, leitet aber nicht automatisch dahin um. Tippt man also einfach example.com in die URL-Leiste des Browsers surft man weiterhin – und manchmal völlig unbemerkt – unverschlüsselt durch die Lande. Und selbst wenn man beim Eintippen der Seite auf das nötige https:// vorweg achtet, kann es sein, dass man durch absolut gesetzte Links ganz schnell wieder auf der unverschlüsselten Version surft.
Eine gute Hilfe beim verschlüsselten Surfen bietet seit einigen Jahren bereits das Plugin HTTPS Everywhere (Firefox, Chrome). Entwickelt von der amerikanischen Bürgerrechtsorganisation EFF leitet es für alle Seiten, von denen eine verschlüsselte Version bekannt ist, auf diese um.
Bei allen kleineren Seiten für die keine Umleitungsregeln im Plugin integriert sind, muss man aber selbst Hand anlegen. Bei mir war das letztens erst bei einem Browsergame nötig, welches den Login standardmäßig unverschlüsselt durchführt. Unter Firefox führt dies seit Version 51 zu einer Warnung, die vor dem Login warnt. Und das natürlich völlig zurecht. Die Betreiber der Seite scheint dies indes nicht allzu sehr zu stören. Die Bugmeldung, die ich bereits im Februar dazu aufgemacht habe, wurde zwar von einem Moderator kommentiert, ist bis jetzt aber noch nicht einmal bestätigt worden.
Eigene Regeln in HTTPS Everywhere
Eine eigene Regel hilft dabei auch in solchen Fällen sicher unterwegs zu sein und seine Passwörter nicht unbeabsichtigt, unverschlüsselt durch das Netz zu jagen. Dazu ruft man nach der Installation der Erweiterung die verschlüsselte Version der Seite auf. Dazu reicht die manuelle Eingabe des https:// vor der eigentlichen Domain, also zum Beispiel https://www.example.com. Rechts oben neben der URL-Leiste klickt man dann auf den blauen Button der Erweiterung und dann auf Erstelle eine Regel für diese Seite. Für erfahrene Anwender sind auch erweiterte Optionen vorhanden. Kenntnisse von Regular Expressions sind dann von Vorteil. Für die meisten Fälle reicht aber ein Klick auf den Button Erstelle eine neue Regel für diese Seite. Von nun an sind alle Aufrufe der Seite automatisch HTTPS-verschlüsselt.
Ein Gedanke zu „HTTPS erzwingen“