Wenn eine Website das Schloss / HTTPS anzeigt, ist sie dann sicher?
Kurzantwort
Nein. Das Schloss bedeutet, dass der Transport verschlüsselt und das Zertifikat für diese Domain gültig ist — es sagt nichts darüber aus, ob der Betreiber ehrlich oder der Inhalt bösartig ist. Kostenlose, automatisierte Zertifikate führen dazu, dass Phishing- und Malware-Seiten fast immer ebenfalls ein einwandfrei gültiges Schloss haben. HTTPS schützt den Kanal, nicht das Ziel.
Dies ist eine Falle zur Nutzersensibilisierung, die selbst technische Personen erwischt, weil „achte auf das Schloss“ ein Jahrzehnt lang ein Sicherheitsratschlag war. Der Interviewer will sehen, ob Sie verstehen, was dieses Schloss tatsächlich bescheinigt.
Was das Schloss wirklich bedeutet
Das Schloss zeigt zwei Dinge an und nur zwei: Die Verbindung ist mit TLS verschlüsselt, und der Browser hat erfolgreich ein Zertifikat validiert, das zur besuchten Domain passt. Das ist alles. Es ist eine Aussage über den Kanal, nicht über den Charakter der Website. Eine verschlüsselte Verbindung zu einem Kriminellen ist immer noch eine verschlüsselte Verbindung.
Warum „gültiges Zertifikat“ kein Vertrauenssignal mehr ist
Domainvalidierte Zertifikate sind kostenlos und automatisiert (z. B. über ACME/Let's Encrypt). Ein Angreifer registriert eine ähnlich aussehende Domain, bekommt in Sekunden ein Zertifikat und stellt eine Phishing-Seite mit einem makellosen Schloss bereit. Studien haben gezeigt, dass ein großer Anteil der Phishing-Seiten inzwischen HTTPS nutzt — teils weil das Schloss die Opfer beruhigt. Der Ablenker, der behauptet, Zertifikate erforderten eine „Sicherheitsprüfung“, beschreibt einen Prozess, der für DV nicht existiert.
Was tatsächlich Vertrauen signalisiert
Der Domainname selbst (lesen Sie ihn sorgfältig auf Typosquatting), die Reputation des Betreibers und die Out-of-Band-Verifizierung. Browser haben sogar die alte „grüne EV-Leiste“ entfernt, weil Nutzer sie nicht zuverlässig interpretieren konnten.
Worauf Interviewer achten
Ein entschiedenes „Nein“, die Unterscheidung Kanal-versus-Ziel und das schlagende Beispiel: Phishing-Seiten haben ebenfalls gültige Zertifikate. Kandidaten, die Schloss mit Sicherheit gleichsetzen, offenbaren ein veraltetes mentales Modell.
Wahrscheinliche Anschlussfragen
- Was genau beweist ein domainvalidiertes (DV) Zertifikat, und was beweist es nicht?
- Warum haben Browser aufgehört, die „grünen EV-Leisten“ für erweitert validierte Zertifikate anzuzeigen?
- Wie beurteilt man tatsächlich, ob eine Website vertrauenswürdig ist?