Einleitung

Nachdem jetzt ja das Ausmaß der Überwachung dirch die Nachrichtendienste jedermann vor Augen geführt wurde (vgl. den Vortrag hier auf dem 30. Chaos Communication Congress), habe ich mich mal hingesetzt und in meinen Browserfavoriten Inventur gemacht. Welche Seiten werden verschlüsselt angeboten, welche nicht?

Das Verfahren war ganz einfach: In meiner Bookmark-Liste habe ich einfach alle Links, die mit http:// beginnen, durch https:// ersetzt und dann geschaut was passiert. Bei Sites, die Verschlüsselung bieten, habe ich mir dann vom Browser die Details zu den Zertifikaten anzeigen lassen.

Ergebnisse

Nachrichten

• http://www.deutschlandfunk.de - bietet keine Verschlüsselung
• https://www.tagesschau.de - bietet Verschlüsselung, benutzt GeoTrust als Zertifizierungsstelle (CA). Enthält unverschlüsselte Elemente.
• http://www.heise.de/newsticker - bietet keine Verschlüsselung
• http://www.golem.de - bietet keine Verschlüsselung.
• https://www.donnerwetter.de - bietet Verschlüsselung, benutzt ein selbstsigniertes Zertifikat.
• https://wired.com - bietet Verschlüsselung, benutzt Cybertrust als Zertifizierungsstelle (CA), das Zertifikat wurde allerdings nicht auf wired.com ausgestellt
• http://www.newscientist.com/ - bietet keine Verschlüsselung.
• https://www.sciencedaily.com/ - bietet Verschlüsselung, benutzt ein selbstsigniertes Zertifikat. Enthält unverschlüsselte Elemente.
• https://blog.opentreeoflife.org/ - bietet Verschlüsselung, benutzt GoDaddy als Zertifizierungsstelle (CA), das Zertifikat wurde allerdings nicht auf opentreeoflife.org ausgestellt (sondern auf *.wordpress.com)
• https://news.ycombinator.com/ - bietet Verschlüsselung, benutzt Comodo als Zertifizierungsstelle (CA)

Suchmaschinen

• https://www.google.de - bietet Verschlüsselung, benutzt Google als Zertifizierungsstelle (CA)
• https://maps.google.de - bietet Verschlüsselung, benutzt Google als Zertifizierungsstelle (CA)
• https://www.deepdyve.com - bietet Verschlüsselung, benutzt GoDaddy als Zertifizierungsstelle (CA)
• http://clusty.com - bietet keine Verschlüsselung
• http://search.carrot2.org - bietet keine Verschlüsselung
• http://www.citeulike.org - bietet keine Verschlüsselung
• http://www.base-search.net - bietet keine Verschlüsselung
• http://citeseerx.ist.psu.edu - bietet keine Verschlüsselung
• http://arxiv.org - bietet keine Verschlüsselung
• https://www.worldcat.org - bietet Verschlüsselung, benutzt Thawte Inc. als Zertifizierungsstelle (CA).
• http://www.doaj.org - bietet keine Verschlüsselung
• https://portal.dnb.de - bietet Verschlüsselung, benutzt Deutsche Nationalbibliothek als Zertifizierungsstelle (CA)

Blogs

• https://blog.fefe.de - bietet Verschlüsselung, benutzt CaCert.org als Zertifizierungsstelle (CA). Das CaCert-Stammzertifikat ist in der Firefox-Liste der vertrauenswürdigen Stammzertifikate nicht enthalten und muss bei CaCert.org heruntergeladen werden.
• http://www.bildblog.de - bietet keine Verschlüsselung
• http://www.topfvollgold.de - bietet keine Verschlüsselung
• http://www.scilogs.de - bietet keine Verschlüsselung

Wikis

• https://de.wikipedia.org - bietet Verschlüsselung, benutzt DigiCert als Zertifizierungsstelle (CA).
• https://wiki.piratenpartei.de - bietet Verschlüsselung, benutzt StartCom als Zertifizierungsstelle (CA).

Comics

• http://www.dilbert.com - bietet keine Verschlüsselung
• http://www.schlockmercenary.com - bietet keine Verschlüsselung

Social Network

• https://twitter.com - bietet Verschlüsselung, benutzt Verisign als Zertifizierungsstelle (CA).
• https://www.facebook.com - bietet Verschlüsselung, benutzt Verisign als Zertifizierungsstelle (CA).

Fazit

• Ich zumindest werde zukünftig bevorzugt verschlüsselte Sites nutzen.
• Insbesondere kleinere und spezialisierte Suchmaschinen verschlüsseln nicht. Die Nachrichtendienste könnten sich aber durchaus dafür interessieren, wonach Wissenschaftler und Akademiker gerade suchen.
• Dass Webblogs und Webcomics keine Verschlüsselung bieten könnte ich zumindest im Prinzip verschmerzen. Mehr Verschlüsselung wäre trotzdem auch hier wünschenswert.
• Ärgerlich -und entgegen meiner Erwartungen- ist, dass weder Heise noch Golem HTTPS-Versionen ihrer Nachrichtenticker anbieten. Und das von Wired genutzte Zertifikat riecht irgendwie komisch.
• Sollte es mich misstrauisch stimmen, dass Twitter und Facebook beide dieselbe CA nutzen? Andererseits: Ob die NSA jetzt mit Verisign oder Facebook kooperiert um an meine Daten zu kommen ist eigentlich egal. Sie könnte sich mittels eines von Verisign signiertem Zertifikats als Facebook ausgeben um Daten abzuschnorcheln oder sie könnte die Daten direkt bei Facebook raustragen. Jedenfalls ist es gut dass beide überhaupt verschlüsseln.