Was ist HTTPS-Filterung?
Was ist HTTPS??
HTTPS (HyperText Transfer Protocol Secure) ist eine Erweiterung des HTTP-Protokolls, das zur Erh?hung der Sicherheit Verschl?sselung unterst?tzt. Dieses Protokoll wird f?r die sichere ?bertragung wertvoller Informationen wie pers?nlicher Daten, Kreditkartenangaben usw. verwendet.
Die Verwendung von HTTPS ist von gro?em Vorteil, da der verschl?sselte Datenverkehr vor dem Abh?ren durch Dritte gesch?tzt ist, was wir nur begr??en k?nnen. Die Akzeptanz von HTTPS hat in den letzten Jahren zugenommen, vor allem weil es von Google gef?rdert wird und auch wegen des Aufkommens der kostenlosen Zertifizierungsstelle Let's Encrypt.
Das folgende Diagramm beschreibt den Unterschied zwischen dem einfachen HTTP-Protokoll und dem sicheren HTTPS-Protokoll.
Was ist ein Sicherheitszertifikat??
Einfach ausgedr?ckt: HTTPS bedeutet Datenverschl?sselung. Aber es gibt immer noch ein Problem: Wie k?nnen Sie sicher sein, dass Sie eine verschl?sselte Verbindung mit der richtigen Website hergestellt haben? Hier kommen die Sicherheitszertifikate ins Spiel. Ein Zertifikat dient als Nachweis daf?r, dass die Website wirklich die ist, welche sie vorgibt zu sein. Verf?gt eine Website nicht ?ber ein solches Zertifikat oder enth?lt das Zertifikat falsche Informationen, kann der Browser keine sichere Verbindung herstellen. Es ist wichtig, dass das von einer Website verwendete Zertifikat von einer Zertifizierungsstelle (CA) ausgestellt ist, der Ihr Browser vertraut. Eine solche Zertifizierungsstelle garantiert, dass das SSL-Zertifikat tats?chlich auf den Inhaber der Website ausgestellt ist.
Warum muss AdGuard in der Lage sein, HTTPS-Verbindungen zu filtern??
Die meisten Websites verwenden jetzt HTTPS, und dies gilt auch f?r die Werbung. Hier sind einige beliebte Websites, auf denen Sie ohne HTTPS-Filterung keine Werbung entfernen k?nnen: youtube.com, facebook.com und x.com.
Wie funktioniert die HTTPS-Filterung??
Wenn es einfach w?re, w?re HTTPS nicht so sicher. Wenn ein Browser versucht, eine Verbindung zu einem Server herzustellen, baut AdGuard zwei sichere Verbindungen auf: eine mit dem Browser (oder einer anderen App) und die andere mit dem Server. Der Browser muss AdGuard und den von ihm hergestellten Verbindungen vertrauen. Zu diesem Zweck generiert AdGuard ein spezielles (und einzigartiges) Stammzertifikat und installiert es im System und bei Bedarf auch in einigen Browsern (z.B. Firefox). AdGuard kann nun die Datenpakete innerhalb der sicheren Verbindung sehen und so seine Aufgabe erf?llen ― Werbung und Tracker zu sperren.
Zum besseren Verst?ndnis haben wir diesen Prozess abgebildet:
Ist mein Datenverkehr weiterhin verschl?sselt und sicher??
Ja, nat?rlich! Ihre Verbindung mit einem Remote-Server bleibt verschl?sselt und sicher. AdGuard pr?ft, genau wie ein Browser, das Zertifikat des Servers, bevor es entscheidet, ob die Verbindung gefiltert werden soll oder nicht.
Die HTTPS-Filterung hat jedoch ihre Nachteile. Die wichtigste ist, dass sie das eigentliche Zertifikat der Website vor dem Browser verbirgt. Stattdessen sieht der Browser das von AdGuard ausgestellte Zertifikat.
Aus diesem Grund haben wir zus?tzliche Ma?nahmen zur Verbesserung der Verbindungssicherheit ergriffen.
Finanzwebseiten und Webseiten mit sensiblen pers?nlichen Daten?
Standardm??ig filtert AdGuard keine Informationen auf Websites von Banken, Zahlungssystemen oder Websites mit wertvollen pers?nlichen Daten. Wir f?hren eine Liste von Tausenden von Ausschl?ssen.
Wenn Sie der Meinung sind, dass eine Website in diese Liste aufgenommen werden sollte, lassen Sie es uns bitte wissen.
Extended Validation (EV)-Zertifikate?
Mit AdGuard k?nnen Sie das Filtern f?r alle Websites deaktivieren, die erweiterte Validierungszertifikate verwenden.
Ein EV-Zertifikat bietet ein h?heres Sicherheitsniveau und mehr Garantien als ein normales Zertifikat und beweist, dass die Website nicht betr?gerisch oder gef?lscht ist.
Probleme im Zusammenhang mit der HTTPS-Filterung?
Eine Studie aus dem Jahr 2017 zeigt, dass 5 bis 10% der HTTPS-Verbindungen von Anwendungen mit HTTPS-Filterung hergestellt werden. Dies geschieht in der Regel durch verschiedene Arten von Antiviren-Software. Die schlechte Nachricht ist, dass 24 von 26 getesteten Antivirenprogrammen das Sicherheitsniveau der Verbindungen auf unterschiedliche Weise herabsetzen, w?hrend zwei Drittel der Verbindungen anf?llig f?r Hackerangriffe sind.
Die Forscher kamen zu einem einfachen Schluss: Die Internet-Sicherheitsgemeinschaft sollte Anwendungen, die sichere Verbindungen filtern, besondere Aufmerksamkeit schenken. Und die Entwickler solcher Software m?ssen der Qualit?t der Filterimplementierung gro?e Aufmerksamkeit schenken.
Wir m?chten darauf hinweisen, dass AdGuard in der oben genannten Studie nicht getestet wurde. Wir haben die Sch?tzungen nach ihrer Testreihe durchgef?hrt, und zum Zeitpunkt der Pr?fung h?tten wir die maximale Punktzahl erhalten k?nnen ― A*. Dieses Ergebnis ist jedoch nicht perfekt. W?hrend der Studie stellten die Forscher einige Punkte fest, die in der endg?ltigen Bewertung nicht ber?cksichtigt wurden.
Wir von AdGuard stimmen diesen Schlussfolgerungen voll und ganz zu. Wir wollen auch offen sein und ?ber die Probleme sprechen, die wir derzeit haben, und ?ber die Schritte, die wir unternehmen, um die Qualit?t und Sicherheit des Filtermechanismus zu verbessern. Die Liste dieser Probleme ist nach Priorit?t geordnet.
Die meisten der in der obigen Studie entdeckten Probleme stehen im Zusammenhang mit den Mechanismen zur Validierung von Zertifikaten. Darauf wollen wir uns zun?chst konzentrieren. Wir arbeiten an einer separaten Bibliothek zur Zertifikatsvalidierung. Au?erdem wollen wir die Software als Open Source anbieten. Ein separater Artikel listet alle bekannten Nachteile der HTTPS-Filterung in AdGuard und unsere Pl?ne, diese zu beheben, auf.
Probleme mit der HTTPS-Filterung unter Android 7+?
Ab Android 7 m?ssen Entwickler explizit angeben, dass ihre Apps den vom Benutzer installierten Zertifikaten vertrauen. Nicht jeder will das, oder macht sich die M?he. Was bedeutet das f?r AdGuard? AdGuard installiert ein Benutzerzertifikat, um den HTTPS-Verkehr filtern zu k?nnen. Wenn eine Anwendung diesem Zertifikat nicht vertraut, wird ihr HTTPS-Datenverkehr nicht gefiltert. Was ist zu tun?
Zun?chst einmal ist zu erw?hnen, dass viele Anwendungen (auch moderne) immer noch auf Benutzerzertifikate vertrauen. In dieser Hinsicht hat sich nichts ge?ndert. Auch fast alle Browser vertrauen solchen Zertifikaten. Es mag einige exotische Browser geben, bei denen dies nicht der Fall ist, aber sie sind eine seltene Ausnahme von der g?ngigen Praxis.
Wenn Ihr Ger?t gerootet ist, k?nnen Sie das AdGuard-Zertifikat in den Systemspeicher verschieben. Auf diese Weise m?ssen Sie sich keine Gedanken ?ber die Berechtigungen machen, die eine bestimmte App hat oder nicht hat ― der HTTPS-Verkehr wird f?r moderne Apps genauso gut gefiltert wie f?r ?ltere. Bitte beachten Sie, dass in diesem Fall einige zus?tzliche Sicherheitseinschr?nkungen (z.B. HPKP oder Expect-CT) f?r AdGuard gelten.
Wie kann man die HTTPS-Qualit?t manuell ?berpr?fen??
Es gibt mehrere Websites, auf denen Sie die Qualit?t Ihrer HTTPS-Verbindung ?berpr?fen k?nnen. Diese Websites pr?fen, ob Ihr Browser (oder, in unserem Fall, Ihr Browser plus AdGuard) f?r g?ngige Sicherheitsl?cken anf?llig ist. Wenn Sie ein Programm verwenden m?chten, das HTTPS filtert (nicht unbedingt AdGuard, aber z.B. ein Antivirenprogramm), empfehlen wir Ihnen, die Verbindungsqualit?t auf diesen Seiten zu ?berpr?fen.