HTTPS schützt eine Verbindung sowohl vor dem Abhören als auch vor
Manipulationen. Aber nur, wenn sich der Angreifer nicht in die geschützte
Verbindung zwischen Client und Server drängeln kann. Was einem MitM, der
bereits in der Internetverbindung sitzt, mit dem richtigen Werkzeug leicht
fällt.
Das größte Problem bei der Sicherheit von SSL/TLS allgemein und
HTTPS im besonderen ist und bleibt das bestehende Zertifizierungssystem.
Es gibt einfach zu viele CAs, denen die Browser und Betriebssysteme ab Werk
vertrauen. Stellt eine dieser CAs Zertifikate aus, ohne dazu autorisiert
zu sein, so werden die vom Browser natürlich als gültig
akzeptiert. So ein "echtes" Zertifikat macht einem MitM-Angriff
natürlich sehr viel leichter. Und dabei muss diese CA gar nicht mal
böswillig handelt, es reicht wenn sie erfolgreich angegriffen wird
oder unsauber arbeitet.
Einige Beispiele für Angriffe auf CAs sowie unsauber arbeitende CAs hatte
ich bereits hier im Blog: