Sicherheitszertifikatswarnungen funktionieren nicht, Forscher sagen

Jeder Web-Surfer hat sie gesehen. Diese "ungültigen Zertifikate" Warnungen erhalten Sie manchmal, wenn Sie versuchen, eine sichere Website zu besuchen.

Sie sagen Dinge wie "Es gibt ein Problem mit dem Sicherheitszertifikat dieser Website." Wenn Sie wie die meisten Menschen sind, fühlen Sie sich vielleicht etwas unbehaglich, und - laut einer neuen Arbeit von Forschern der Carnegie Mellon University - besteht eine gute Chance, dass Sie die Warnung ignorieren und trotzdem durchklicken.

In einem Englisch: bio-pro.de/en/region/stern/magazin/…3/index.html In einem Laborexperiment stellten Forscher zwischen 55 und 100 Prozent der Teilnehmer Sicherheitswarnungen für Zertifikate fest, je nachdem, welchen Browser sie verwendeten (verschiedene Browser verwenden unterschiedliche Sprachen, um ihre Benutzer zu warnen).

[Weitere Informationen: So entfernen Sie Malware Ihr Windows PC]

"Jeder wusste, dass es ein Problem mit diesen Warnungen gab", sagte Joshua Sunshine, ein Student der Carnegie Mellon-Universität und einer der Co-Autoren der Zeitung. "Unsere Studie zeigte dramatisch, wie groß das Problem war."

Das sind keine guten Nachrichten. Häufig tauchen die Warnungen aufgrund eines technischen Problems auf der Website auf, aber sie können auch bedeuten, dass der Websurfer irgendwie auf eine gefälschte Website umgeleitet wird. URLs für sichere Websites beginnen mit "https".

Die Forscher führten zunächst eine Online-Umfrage unter mehr als 400 Web-Surfern durch, um zu erfahren, was sie über Zertifikatswarnungen dachten. Dann brachten sie 100 Menschen in ein Labor und studierten, wie sie im Internet surfen.

Sie stellten fest, dass die Menschen häufig ein vertauschtes Verständnis von Zertifikatswarnungen hatten. Zum Beispiel dachten viele, sie könnten die Nachrichten ignorieren, wenn sie eine Site besuchen, der sie vertrauen, aber sie sollten an weniger vertrauenswürdigen Sites vorsichtiger sein.

"Das ist eine Art Rückwärtsverständnis dessen, was diese Nachrichten bedeuten", sagte Sunshine. "Die Nachricht bestätigt, dass Sie die Website besuchen, von der Sie glauben, dass sie besucht wird, und nicht, dass die Website vertrauenswürdig ist."

Wenn eine Banking-Website eine Nachricht anzeigt, dass das Sicherheitszertifikat ungültig ist, ist das ein sehr schlechtes Zeichen sagen Sicherheitsexperten. Es könnte bedeuten, dass der Internet-Surfer einem so genannten Man-in-the-Middle-Angriff ausgesetzt ist. Bei dieser Art von Angriff fügt sich der Kriminelle zwischen dem Web-Surfer und dem Ort, den er besucht, in der Hoffnung, Informationen zu stehlen.

Sicherheitsexperten wissen seit langem, dass diese Sicherheitswarnungen wirkungslos sind, sagte Jeremiah Grossman, Chief Technology Officer bei Websicherheitsberatung White Hat Security. Das liegt daran, dass Benutzer "wirklich nicht wissen, was die Sicherheitsrisiken bedeuten", sagte er per Sofortnachricht. "Also nehmen sie das Wagnis."

Mozilla hat im Browser Firefox 3 versucht, einfachere Sprache und bessere Warnungen für schlechte Zertifikate zu verwenden. Und der Browser macht es schwerer, eine schlechte Zertifikatswarnung zu ignorieren. Im Labor von Carnegie Mellon waren Nutzer von Firefox 3 am wenigsten wahrscheinlich, nachdem sie eine Warnung erhalten hatten.

Die Forscher experimentierten mit mehreren neu entworfenen Sicherheitswarnungen, die sie selbst geschrieben hatten und die noch effektiver zu sein schienen. Sie planen, ihre Ergebnisse am 14. August auf dem Usenix Security Symposium in Montreal zu berichten.

Dennoch glaubt Sunshine, dass bessere Warnungen nur so viel helfen werden. Statt Warnungen sollten Browser Systeme verwenden, die die Fehlermeldungen analysieren können. "Wenn diese Systeme entscheiden, dass dies wahrscheinlich ein Angriff ist, sollten sie den Benutzer einfach blockieren", sagte er.

Selbst wenn wichtige Websites wie Banken besucht werden, "Menschen ignorieren die Warnungen immer noch dramatisch", sagte er.