Unter verschlüsselter Verbindung (auch „sichere Verbindung“) versteht man den Zugriff auf Wiki-Seiten mittels des „HTTPS“ Protokolls, welches auf HTTP basiert, das in TLS „eingepackt“ wird.[1]

Erkennbar ist das unter anderem daran, dass die URL (wie meist in der Browser-Adresszeile sichtbar) mit https:// beginnt.

Bis 2015 konnten Wiki-Projekte auch ungesichert aufgerufen werden.

Ein Aufruf über http:// ist weiterhin möglich. Dieser wird aber durch die Server der deutschsprachigen Wikipedia und fast alle anderen Domains der Wikimedia Foundation sofort auf https weitergeleitet. Ein erneuter Aufruf der Wikipedia über http wird vom Browser durch den so genannten HSTS-Header automatisch in eine TLS-gesicherte Verbindung umgewandelt.

Hinweise für die Praxis

Bearbeiten

Um die Sicherheit des Benutzers zu schützen, zeigen Browser dem Benutzer an, ob alle Elemente wie Bilder oder Skripte auf einer Webseite über eine TLS-gesicherte Verbindung übertragen werden. Es ist ein Sicherheitsleck, wenn innerhalb einer Seite unter https Elemente eingefügt sind, die nicht über https übertragen werden. Im aktuellen Firefox etwa werden solche „unsicheren“ Inhalte teilweise blockiert.[2]

Folgerung für WP-Autoren und Skripte:

  • Werden Weblinks oder Belege verwendet, sollten diese nach Möglichkeit auch per https verlinkt werden, um die Privatsphäre unserer Leser zu schützen.[3]
  • Auf einer Seite unter https sollten alle Ressourcen-Einbindungen und WMF-Verlinkungen ebenfalls mittels https erfolgen.
    • Die Wiki-Software sorgt dafür von sich aus, wenn aus Wikitext Seiten generiert werden; alle Komponenten im Bereich der WMF werden gesichert abgefordert.

Im Dezember 2019 wurde die verpflichtende Unterstützung von TLS 1.2 (seit 2008)[4] durch den Browser der Nutzer eingeführt.

  • Zunächst bekam ein statistisch zufälliger Anteil der Zugriffe einen Warnbildschirm mit der Aufforderung zum Browser-Update.
  • Mit Januar 2020 gibt es überhaupt keinen Zugang zu Wiki-Inhalten mehr ohne TLS 1.2, sondern nur noch eine erklärende Fehlerseite.

Somit kann auch jegliche in unseren Seiten noch vorhandene Unterstützung antiker Browser entfallen; etwa durch Browserweichen oder überflüssige HTML-Attribute oder sonstige Rücksichtnahmen.

  • HTML5 auf dem Stand 2010 kann durchgängig vorausgesetzt werden, ebenso CSS2.
  • Nicht mehr zu erwartende Browser sind etwa: IE6, IE8 oder Opera vor Chromium, also bis Version 12.

Externe Verlinkungen aus unseren Seiten

Bearbeiten

Seit 2019 werden URLs auf unseren den Lesern dargestellten Seiten, die noch http:// verwenden und von deren Domain bekannt ist, dass sie ausschließliche Verwendung von HTTPS einfordern (HSTS) dahingehend umgeschrieben, dass nach der ersten Kontaktaufnahme alle weiteren nur noch mittels https:// erfolgen.[5] Damit wird ein mögliches Ausspähen durch offene Übertragung von Einzelheiten zur gewünschten Webseite vermieden, erst recht eine Zwischenschaltung böswilliger Angreifer.

Weitere Informationen

Bearbeiten
  • Wikipedia:Technik – Technische Einzelheiten, Hintergrundinformationen, geschichtliche Entwicklung

Anmerkungen

Bearbeiten
  1. Einschließlich Perfect Forward Secrecy; siehe WP:Technik.
  2. Siehe hierzu die Erläuterungen der Symbole zur Erkennung von blockierten Inhalten in der Mozilla Knowledgebase
  3. Ob die Zielseite automatisch wie die Wikipedia auf https umleitet, hängt von der Zielseite und deren Serverkonfiguration ab. Weiterhin sei zu beachten, dass diese Weiterleitung bei der ersten Verbindung über http erfolgt und somit manipuliert bzw. unterdrückt werden kann. Siehe dazu Trust on first use (englischsprachige Wikipedia).
  4. Dierks, Rescorla: RFC: 5246 – TLS 1.2 Spezifikation (Proposed Standard). August 2008 (löst RFC 4346 ab, englisch).
  5. mw:Extension:SecureLinkFixer (englisch)