Guck mal
hier
In der Regel muss man beim ersten mal ein Zertifikat der Webseite herunterladen. Das ist der öffentliche Teil eines Schlüssels. Jeder der ihn hat kann damit Nachrichten verschlüsseln, die nur der Webseiteninhaber entschlüsseln kann. Wenn du den benutzest, dann kannst Du also sicher sein, mit der "echten" Webseite zu kommunizieren, denn den privaten Schlüssel kann man normalerweise nicht klauen, da er nie ausser Haus geht.
Mit diesen Zertifikaten wird nun ein Verschlüsselungspasswort zwischen Deinem Rechner und der Webseite ausgehandelt, das über https läuft.
Bei sicheren Webseiten wird der Schlüssel dauernd gewechselt, so dass die Zeit, während der er benutzt wird, um Grössenordnungen kleiner ist als die Zeit, die ein sehr leistungsfähiger Grossrechner benötigen würde, um die Verschlüsselung zu knacken.
Auch mit einem geklauten Zertifikat kann man den Datenverkehr nicht abhören, weil man damit nur den Teil des Datenverkehrs verschlüsseln kann, der zur Webseite geht, und weil dieser Schlüssel ja für den eigentlichen Datenverkehr nicht verwendet wird.
Siehe asymmetrische Verschlüsselungsverfahren.
Die Sache ist für den Benutzer transparent, d.h. läuft ausschliesslich im Hintergrund ab, sobald man sich mit seinem Passwort authentifiziert hat. Wenn dieses Passwort allerdings leicht zu erraten ist oder auf einem Zettel auf dem Bildschirm klebt oder man an einem öffentlichen Arbeitsplatzrechner vergisst, sich auszuloggen, nützt der ganze Aufwand nichts.
Deshalb haben all diese Phishing-Attacken zum Ziel, die Identität der Benutzer zu klauen.
Wer will, findet einen Weg. Wer nicht will, findet eine Ausrede.
