Da allen möglichen Zertifikaten ohne Prüfung des Benutzer vertraut wird. Ist die Integrität nicht sichergestellt.
Massenüberwachung wird wesentlich erschwert
Die Metadaten fallen, wie du sagst, ohnehin an. Solange kein Passwort für den Zugriff genutzt wird, kann natürlich jeder der die Metadaten kennt, nachschauen welche Inhalte abgerufen werden.
Sicherheit steigt
Die Sicherheit einer Webseite ist nicht abhängig von der Sicherheit der Übertragung. Alte Software wird nicht sicherer nur weil sie die Verbindung verschlüsselt. Mit Heartbleed wurden die Seiten sogar weniger sicher dank Verschlüsselung.
Die Metadaten fallen, wie du sagst, ohnehin an. Solange kein Passwort für den Zugriff genutzt wird, kann natürlich jeder der die Metadaten kennt, nachschauen welche Inhalte abgerufen werden.
Nicht ganz richtig - aus der englischen Wikipedia zu HTTPS:
Everything in the HTTPS message is encrypted, including the headers, and the request/response load. With the exception of the possible CCA cryptographic attack described in the limitations section below, the attacker can only know that a connection is taking place between the two parties and their domain names and IP addresses.
Richtig wäre: es kann nachgeschaut werden, welche Domain angesurft wurde und wie lange.
Die Sicherheit einer Webseite ist nicht abhängig von der Sicherheit der Übertragung. Alte Software wird nicht sicherer nur weil sie die Verbindung verschlüsselt. Mit Heartbleed wurden die Seiten sogar weniger sicher dank Verschlüsselung.
Heartbleed war eine Ausnahme. Gehen wir davon aus, dass der angesurfte Sever nicht gehackt ist und dass nach Symentec nicht der nächste Depp fremde Zertifikate ausstellt. Dann kannst du überprüfen, dass du die richtigen Daten geliefert bekommen hast. Beispielsweise in offenen Wlans ein erheblicher Sicherheitsgewinn.
Die Metadaten fallen, wie du sagst, ohnehin an. Solange kein Passwort für den Zugriff genutzt wird, kann natürlich jeder der die Metadaten kennt, nachschauen welche Inhalte abgerufen werden.
Nicht ganz richtig - aus der englischen Wikipedia zu HTTPS:
Everything in the HTTPS message is encrypted, including the headers, and the request/response load. With the exception of the possible CCA cryptographic attack described in the limitations section below, the attacker can only know that a connection is taking place between the two parties and their domain names and IP addresses.
Richtig wäre: es kann nachgeschaut werden, welche Domain angesurft wurde und wie lange.
Die Sicherheit einer Webseite ist nicht abhängig von der Sicherheit der Übertragung. Alte Software wird nicht sicherer nur weil sie die Verbindung verschlüsselt. Mit Heartbleed wurden die Seiten sogar weniger sicher dank Verschlüsselung.
Heartbleed war eine Ausnahme. Gehen wir davon aus, dass der angesurfte Sever nicht gehackt ist und dass nach Symentec nicht der nächste Depp fremde Zertifikate ausstellt. Dann kannst du überprüfen, dass du die richtigen Daten geliefert bekommen hast. Beispielsweise in offenen Wlans ein erheblicher Sicherheitsgewinn.