Die Schwierigkeit, manipulierte Seiten zu erkennen, macht SSL-Stripping-Angriffe für User so gefährlich: Die Verschlüsselungszertifikate, die von jedem pflichtbewussten Website-Betreiber eingesetzt werden sollten, stehen eigentlich für Sicherheit und Vertrauenswürdigkeit und nehmen den Besuchern daher die Bedenken, vertrauliche Daten preiszugeben. Und prinzipiell bietet SSL auch den notwendigen Schutz, denn die Möglichkeit, Datenpakete mitzulesen und abzufangen, resultiert nicht etwa aus einer Sicherheitslücke des Protokolls, sondern daraus, dass die Verschlüsselung an sich verhindert wird. Um sich vor SSL-Strips zu schützen, sollte jeder Nutzer daher den Aufbau verschlüsselter HTTPS-Verbindungen forcieren, zum Beispiel durch die folgenden Mittel:
- Manuelle Eingabe der URL: Eine äußerst mühsame, aber erfolgreiche Maßnahme ist es, die vollständige HTTPS-URL per Hand einzugeben.
- Browser-Erweiterung: Es gibt verschiedene Browser-Erweiterungen, die Ihnen dabei helfen, verschlüsselte Versionen aufzurufen, sofern diese vorhanden sind. Die Erweiterung HTTPS Everywhere greift beispielsweise auf Domain- und Regellisten zurück, um jegliche Seitenaufrufe über HTTPS-Verbindungen abzuwickeln. Versionen für Firefox, Firefox for Android, Chrome und Opera finden Sie auf der Website der Electronic Frontier Foundation, die die Erweiterung gemeinsam mit dem Tor-Projekt entwickelt und betreut.
- Sichere URLs als Lesezeichen speichern: Wenn Sie einen SSL-geschützten Webservice (Online-Banking, Cloud-Speicher etc.) häufiger in Anspruch nehmen, können Sie die HTTPS-Version als Lesezeichen speichern und den Dienst immer über dieses aufrufen. Voraussetzung ist, dass Sie sich in einem sicheren Netzwerk befinden, wenn Sie das Lesezeichen setzen. Andernfalls ist es möglich, dass Sie eine bereits manipulierte URL in die Favoritenliste aufnehmen.
Auch als Betreiber eines Webprojektes kann man SSL-Stripping aktiv bekämpfen. Ein grundlegender Schritt kann beispielsweise sein, die Verschlüsselung für sämtliche Seiten der Präsenz zu aktivieren und die Umleitung eingehender HTTP-Verbindungen auf sichere Seiten zu forcieren. Ähnliches gilt für gesetzte Cookies: Wenn Sie zwecks Webanalyse nicht auf die praktischen Datensätze verzichten wollen, sollten Sie sicherstellen, dass diese nicht über ungesicherte HTTP-Verbindungen zurückgesendet werden. Hierfür zeichnen Sie die Cookies einfach mit dem Attribut „Secure“ aus und stellen damit sicher, dass Ihr Server lediglich Rückmeldungen via HTTPS erhält. Eine weitere Sicherheitsmaßnahme ist der IETF-Standard HSTS, der im folgenden Abschnitt genauer beleuchtet wird.