Ist das ein ernstes Problem?
Kann ich die Seite trotzdem besuchen?
jein.
Konkret in diesem Fall ist/war es kein ernstes Problem. Ist es in 99% der Fälle nicht.
Das Problem (und der Grund, warum die Browser den Zugriff auf "unsichere" Seiten immer wieder erschweren) besteht darin, dass wenn sich User an derartige Warnungen gewöhnen (und daran, sie wegzuklicken), sie irgendwann auch mal bei einem echten Sicherheitsproblem auf "weiter" klicken.
Kleiner Exkurs für die, die es interessiert:
Das Schloss oben links sagt zwei Sachen aus:
1. Der Server (in deinem Fall OSM oder hier bei diesem zB der Server des Providers von gs-Forum.eu) und Dein Browser haben sich auf eine Verschlüsselung geeinigt (die von beiden unterstützt und "Stand der Technik" angesehen wird) und die dafür notwendigen Schlüssel ausgetauscht. Damit ist die Verbindung an und für sich sicher.
2. Der Server hat über ein SSL-Zertifikat (quasi ein digitaler Personalausweis) nachgewiesen, dass er auch wirklich rechtmäßig für die Seite (z.B. gs-forum.eu) zuständig ist (denn die beste Verschlüsselung nützt ja nichts, wenn Dein Gegenüber nicht die Bank ist, sondern ein Bösewicht). Dieses Zertifikat muss auf den passenden Namen ausgestellt sein ("Dr. Peter Müller" ist jemand anderes als "Peter Müller" oder "Dr. Petra Müller" - so ist es bei SSL-Zertifikaten auch, gs-forum.eu ist etwas anderes als
www.gs-forum.eu und wieder etwas anderes als gsforum.eu). Es muss von einer vertrauenswürdigen Stelle ausgestellt / signiert ("abgestempelt") sein. Und es hat ein Gültigkeitsdatum, damit man mit alten Zertifikaten keinen Identitätsbetrug versuchen kann.
In diesem Fall ist das Gültigkeitsdatum einer dieser Ausweise (verschiedene Domain-Schreibweisen = verschiedene Zertifikate) abgelaufen, weil die bei let's encrypt (=die vertrauenswürdige ausstellende Stelle) alle 2-3 Monate notwendige automatische Verlängerung gehakt hat. Das ist kein Drama.
Der Besuch ist dadurch nicht unsicher:
- normalerweise: Du verschickt (und bekommst) die Daten in einem verschlossenen Paket, in das Deine Nachbarn während Du es durch den Flur trägst, nicht reingucken können. Und der Paketdienst auch nicht.
- jetzt: Du verschickst und bekommst de Daten weiterhin in einem verschlossenen Paket, in das auch weiterhin die Nachbarn nicht reingucken können, und der Paketdienst auch nicht. Aber: Der Empfänger dieses Paketes hat unter der angegebenen Adresse die Tür geöffnet, hat dem Paketdienst auch einen echten Ausweis mit dem passenden Namen und seinem Foto drauf vorgezeigt, nur eben gestern abgelaufen.
Umgekehrt: Auch ein gültiges Zertifikat / Ausweis macht den Besuch nicht automatisch "gefahrlos". Zwar können Nachbarn und Paketdienst weiterhin nicht in das Paket reingucken, aber:
- der Absender kann es, und der Empfänger auch. Müssen sie ja. Hast Du ungebetene Software auf Deinem PC oder im echten Leben einen neugierigen Mitbewohner, dann können die den Inhalt des Paketes sehen und ggf. auch vor dem Rückversand manipulieren. Da rettet Dich der "sichere Versand durch DHL" nicht vor
- der Inhalt kann trotzdem gefährlich sein. Will Dir der Absender etwas böses (oder wurde selbst Opfer von einem boshaften Mitbewohner), dann kann er Dir Schadcode ins Paket packen und wenn Du die Seite öffnest, ist der Schadcode zwar sicher von DHL bis zu Dir transportiert worden, aber es bleibt Schadcode.
- Du musst trotzdem aufpassen, mit wem Du da schreibst. Wenn ich Dich im echten Leben dazu bringe (z.B. durch einen gefälschten Brief auf BMW-Briefpapier), dass Du mir Deine Fahrzeugpapiere + Schlüssel an meine Adresse schickst (und ich klebe zur Sicherheit noch ein BMW-Logo auf meinen Briefkasten, damit DHL auch ja weiß, dass sie richtig sind), dann ist der Versand durch DHL sicher, aber am Ende landen Deine Daten bei einem Bösewicht. Und genauso, wenn ich per Phishing-Mail schaffe, dass Du
www.onlinebanking-der-sparkasse-kleinkleckersdorf.de aufrufst Du Deine Zugangsdaten eintippst, dann bringt Dir das grüne Schloss im Browser auch nichts. Denn es sagt nur, dass der Transport zu diesem Server abhörsicher war und der Server bewiesen hat, dass er "
www.onlinebanking-der-sparkasse-kleinkleckersdorf.de" ist. Mit der Sparkasse muss er aber nichts zu tun haben.
(stark vereinfacht dargestellt und darum auch z.B. sog. EV-Zertifikate weggelassen)
