Hallo Sven,

Das kann ich nur feststellen, wenn bereits die Login-Seite per HTTPS angeboten wird und mein Browser anhand des Zertifikats feststellt: Ja, das ist wirklich der, für den er sich ausgibt.
Du übersiehst dabei allerdings einen wichtigen Punkt: Der "Bankserver" braucht nur ein Zertifikat vorzuweisen, welches von einer der im Browser installierten Zertifikatsstellen unterschrieben wurde.
Und so eine Unterschrift ist offenbar relativ leicht auch illegal zu erlangen. Entweder präsentiert jemand gefälschte Authentizitätsbelege bei der Beantragung des Zertifikats, oder er hackt sich rein und stellt es sich selbst aus, so wie zuletzt bei Diginotar geschehen.

ist das tatsächlich so leicht, wie du es darstellst? Oder braucht's dazu eine gehörige Portion profundes Fachwissen und kriminelle Energie?

Guck dir mal an, welchen "vertrauenswürdigen" Stellen dein Browser vertraut.

Hmm. Wie mach ich das? Wie finde ich das heraus? Das hat mich bisher noch nie interessiert. Ah, ich hab's gefunden. Ja, das sind eine Menge Organisationen, und von den meisten habe ich noch nie gehört.

Die könnten alle ein gültiges Zertifikat für deine Bank ausstellen. Oder für deinen Mailprovider.

Mir hat es bisher noch immer genügt, dass ich die gewünschte URL eingebe und die erwartete Antwort bekomme. Die Szenarien, die ich umrissen habe, halte ich zwar für durchaus denkbar, aber hinreichend unwahrscheinlich, dass sie mich bisher in der Praxis nicht weiter interessiert haben. Und solange ich nicht vorhabe, geheimhaltungswürdige Daten ins Netz hinauszuschicken, juckt es mich auch nicht, wenn mein Browser meldet, das Zertifikat sei unbekannt, ungültig oder abgelaufen.

Ciao,
 Martin