Verbindung sicher? Das verraten die drei beliebtesten Browser

← zurück zum Blog

Websites, die verschlüsselte Verbindungen per HTTPS unterstützen, gehören noch lange nicht zum Standard. Dies lag lange Zeit daran, dass SSL-Zertifikate meist nur kostenpflichtig erhältlich waren. Dank Let’s Encrypt hat sich das geändert.

Verschlüsselung ist aber eben auch alles andere als trivial und nützliche Informationen zur Verbindung werden nicht von allen Browsern geliefert. Wir zeigen heute, welche Informationen die drei beliebtesten Browser zu verschlüsselten Websites anzeigen und was Sie daraus lesen können.

Google Chrome

Google Chrome bietet in seinen Entwickler-Tools (Ansicht > Entwickler > Entwickler-Tools) eine eigene Rubrik «Sicherheit» in der alle relevanten Informationen angezeigt werden. Die Option erreichen Sie auch, wenn Sie auf das Schlossymbol in der Adresszeile klicken und dann die Option «Details» wählen.

Im Idealfall präsentiert sich die Rubrik «Sicherheit» komplett in grün:

Chrome hat keine Probleme mit der verschlüsselten Verbindung festgestellt.

Chrome hat keine Probleme mit der verschlüsselten Verbindung festgestellt.

  1. Das Zertifikat ist gültig
  2. Die Verbindung ist mit einer starken Protokoll-Version und sicheren Cipher-Suites gesichert
  3. Alle externen Ressourcen sind ebenfalls über eine sichere Verbindung eingebunden

Damit wissen Sie, die Verbindung zur aufgerufenen Website ist mit einem gültigen Zertifikat verschlüsselt und es kommen moderne Protokolle und Verschlüsselungsmethoden zum Einsatz. Ausserdem werden auch externe Inhalte über sichere Verbindungen geladen.

Und so präsentiert sich die Ansicht bei Problemen:

Die angezeigte Website enthält Mixed Content.

Die angezeigte Website enthält Mixed Content.

  1. Das Zertifikat ist gültig
  2. Die Verbindung ist mit einer starken Protokoll-Version und sicheren Cipher-Suites gesichert
  3. Die Seite enthält eine Quelle, die über HTTP geladen und damit über eine unverschlüsselte Verbindung übertragen wird.

Die Seite enthält sogenannten «Mixed Content». Da es sich lediglich um ein Bild handelt, wird der Inhalt trotzdem angezeigt. In der Adresszeile ist jedoch kein grünes Schloss zu sehen.

Mit einem Klick zeigt Chrome Details zu den Inhalten, die Probleme verursachen.

Mit einem Klick zeigt Chrome Details zu den Inhalten, die Probleme verursachen.

Tipp: Lassen Sie Chrome unsichere Verbindungen speziell kennzeichnen. Die Option «Mark non-secure origins as non-secure» unter chrome://flags markiert unsichere Verbindungen mit einem durchgestrichenen Schloss-Symbol in der Adresszeile.

Firefox

Gegenüber Chrome sind die Informationen zur Verschlüsselung in Firefox nicht ganz so ausführlich. Die gesuchten Informationen lassen sich jedoch mühelos mit einem Klick auf das Schloss-Symbol und danach auf das Pfeil-Symbol anzeigen.

Ist mit der verschlüsselten Verbindung alles in Ordnung, meldet Firefox, dass die Verbindung sicher ist. Ausserdem wird angezeigt, durch welche Zertifizierungsstelle (Certification Authority) das SSL-Zertifikat ausgestellt ist. Mit einem weiteren Klick auf «Mehr Informationen» lassen sich Details zum Zertifikat, dem verwendeten Protokoll und den Cipher-Suite einsehen.

Firefox meldet keine Probleme mit der verschlüsselten Verbindung.

Firefox meldet keine Probleme mit der verschlüsselten Verbindung.

Bestehen Probleme mit der Verbindung, ist das Schloss in der Adresszeile ausgegraut und mit einem gelben Achtung-Symbol versehen. Ein Klick auf das Schlossymbol fördert eine kurze Beschreibung zur Ursache des Problems zu Tage. Ein direkter Verweis auf die Quelle des Problems fehlt zwar, ein Klick auf «Weitere Informationen» führt jedoch jedoch auf einen Support-Artikel der beschreibt, wie sich solche Inhalte blockieren lassen.

Firefox meldet Inhalte, die über eine unverschlüsselte Verbindung eingebunden sind.

Firefox meldet Inhalte, die über eine unverschlüsselte Verbindung eingebunden sind.

Safari

Im Vergleich zu Firefox und Chrome sind die Informationen zur HTTPS-Verbindung in Safari sehr bescheiden. Wird bei einer funktionierenden verschlüsselten Verbindung noch das Schloss-Symbol angezeigt, fehlt bei einer teilweise verschlüsselten Verbindung jeglicher visueller Hinweis.

Safari meldet keine Probleme mit der Verschlüsselung und zeigt bei Bedarf Genaueres zum SSL-Zertifikat.

Safari meldet keine Probleme mit der Verschlüsselung und zeigt bei Bedarf Genaueres zum SSL-Zertifikat.

Will man sich ein genaueres Bild verschaffen, bleibt nur der Weg über die Konsole in den Entwickler-Tools (Entwickeln > Web-Inspektor anzeigen). Sie verrät, dass unsichere Elemente geladen wurden.

Eine visuelle Warnung, dass unsichere Inhalte geladen wurden, erscheint erst nach einem Klick in die Adresszeile.

Eine visuelle Warnung, dass unsichere Inhalte geladen wurden, fehlt.

Chrome und Firefox vorbildlich

Der Vergleich zeigt: In Google Chrome sind die Informationen zu verschlüsselten Verbindungen am einfachsten zu finden. Ausserdem helfen Verknüpfungen zu den Elementen, welche Probleme verursachen, die Fehlerquelle zu eliminieren. In Firefox sind die Informationen nicht ganz so ausführlich und etwas umständlicher zu finden. Safari macht es einem regelrecht schwer, die gewünschten Informationen zu finden. Wer gerne weiss, wie es um die Sicherheit der Verbindung zu einer Website steht, dem sei darum der Einsatz von Chrome oder Firefox empfohlen.

Möchten Sie wissen, wie Ihr Browser bei problematischen SSL-Verbindungen reagiert? Unter badssl.com lassen sich alle möglichen Szenarien simulieren.

4 Kommentare

  1. Kleine Korrektur zu Safari: Safari zeigt bei mixed content Problemen überhaupt kein Schloss an. Das Orange Symbol ist das Favicon der Webseite ;)

  2. Wers auch mit Firefox wirklich genau wissen will, lädt sich das Add-on „Calomel SSL Validation“ herunter. Mit einem Klick werden Cipher Suites, KEX Algorithmus und Zertifikatsinformationen angezeigt.

Kommentar hinzufügen

Ihre E-Mailadresse wird nicht veröffentlicht.
Auszufüllende Felder sind mit einem * gekennzeichnet.

*
*
*
Einfache HTML Anweisungen wie a, strong, blockquote etc. sind möglich.

Hinweis

Wir behalten uns vor, Spam-, beleidigende oder anderweitig unpassende Kommentare zu entfernen.

← zurück zum Blog