Mein Provider bietet kostenlose SSL/TLS-Zertifikate an, um auch nicht-kommerzielle Seitenbetreiber auf die Verschlüsselungsschiene zu ziehen. Habe ich natürlich gemacht. Man braucht aber kein Philosoph zu sein, oder richtiger: man darf weder Philosoph noch Soziologe, Politologe oder Germanist sein, um zu erkennen, dass die ganze Verschlüsselungsgeschichte eigentlich eine Mogelpackung ist. Wieso ?
- Login-Daten, Konteninformationen usw. können natürlich mit Verschlüsselung nicht mehr belauscht werden. Für Login und viele andere Operationen ist das aber gar nicht notwendig, weil die Daten auch anders geschützt werden können. Es bleiben also nur ein paar persönliche Daten, die jedoch nur auf Webshopseiten wirklich von Belang sind.
- Die Wenigsten haben eigene Server. Bei fremden Servern kann jedoch zumindest der Provider in den meisten Fällen alles lesen. Daten so zu schützen, dass er das nicht kann, schränken auch andere Anwendungen ein.
- Die meisten Seiten sind ohnehin öffentlich. Bei einer Verschlüsselung kann man zwar die Inhalte, die ich sehe, nicht sehen, aber die allgemeinen Inhalte schon.
- Die wesentlichen Daten, die deutlich mehr ins Private zielen, also Telefonie, Emails, private Chats, sind nach wie vor nirgendwo geschützt (außer bei ein paar Nerds, die sich die Mühe machen). Hier werden keinerlei Anstrengungen gemacht.
Bei der Verschlüsselung der wesentlichen privaten Daten (Telefon, Email) stellt der Staat jede Menge Hürden auf, damit niemand verschlüsselt (verbieten kann er es nicht, aber beliebig umständlich machen). Bei privaten Chats gibt es inzwischen erste Urteile gegen Provider, die Verschlüsselung ermöglichen, WEIL der Staat im Bedarfsfall nicht mitlesen kann. Warum hat er also nichts gegen SSL/TLS im Webserverbereich ? Genau ! Weil er durch verschiedene Möglichkeiten ohnehin fast alles erfahren kann. Der HTTPS-Hype alleine ist eine Mogelpackung – ein Schuh wird erst draus, wenn die anderen Kommunikationsschienen nachziehen.