Um eine verschlüsselte Verbindung aufzubauen, sollte eine Webseite mit vorangestelltem https:// aufgerufen werden, z.B. https://www.itsb.rub.de/themen/sicher-surfen.html. Browser bringen das nötige Rüstzeug bereits mit. Sie interpretieren den Website-Aufruf über https, prüfen Plausibilität und zeitliche Gültigkeit des vorgewiesenen Zertifikats und bauen die verschlüsselte Verbindung zur Webseite auf. Sitzungsschlüssel und Zertifikate sind im Browser gespeichert.

Kommt die verschlüsselte und zertifizierte Verbindung zustande, symbolisieren die Browser dies in der Regel durch ein grünes, geschlossenes Schloss-Symbol. Die Verbindung ist jetzt abhörsicher verschlüsselt. Der Nutzer kann sicher sein, dass die Verbindung auch zur gewünschten Webseite aufgebaut wurde.

Kann keine verschlüsselte Verbindung aufgebaut werden, so signalisieren die Browser dies in der Regel durch andersfarbige Symbole (z.B. ein geöffnetes rotes Schloss) und durch eine Meldung zum jeweiligen Zertifikatsproblem. Folgende Fehlersituationen treten häufig auf:

• Die Adresse der Webseite stimmt nicht mit der Adresse im Zertifikat überein.
  → Unter Umständen ist dies höchstens eine harmlose Nachlässigkeit des Serveradministratores: Das Zertifikat wurde für eine andere Webseite erstellt. Häufig tritt dieses Problem auf, wenn Servernamen in einer größeren Einrichtung inkonsistent Verwendung finden.
• Das Zertifikat ist veraltet.
  → Das ist häufig kein Problem. Zertifikate haben nur eine begrenzte Lebensdauer. Nach deren Ablauf kann dann kein zertifizierter Verbindungsaufbau mehr stattfinden. Dennoch kann auch ein veraltetes Zertifikat auf ein Problem mit der Webseite hinweisen.
• Das Zertifikat stammt nicht von einer vertrauenswürdigen Quelle.
  → Dies kann auf eine gefälschte oder bösartige Webseite hinweisen. Vielleicht setzt der Website-Betreiber aber auch einfach ein kostengünstiges oder selbst erstelltes Zertifikat ein. Der Zertifikataussteller gehört jedenfalls nicht zu den vertrauenswürdigen Ausstellern, die im Browser oder im Betriebssystem installiert sind.
• Das Zertifikat einer Webseite wurde gesperrt.
  → Dieser Webseite sollte keinesfalls getraut werden, da das Zertifikat unter Umständen missbräuchlich verwendet wird.

Jeder Zertifikatfehler sollte geprüft und nach den Umständen beurteilt werden. Bei jeglichem Zweifel an der Seriösität der Webseite sollte man vom Besuch absehen. Möchte man die Seite trotz der Zertifikatswarnung besuchen, so ist dies durch Bestätigung der Ausnahme durchaus möglich ("Ich kenne das Risiko") - auf die dauerhafte Speicherung dieser Ausnahme kann man in der Regel verzichten.

Für Chrome, Firefox und Opera hat die amerikanische Nicht­re­gie­rungs­orga­nisation Electronic Frontier Foundation (EFF) die Browser-Erweiterung HTTPS Everywhere entwickelt. Diese ruft Webseiten stets mit einer verschlüsselten Verbindung auf - sofern die Webseite das zulässt, auch wenn der Aufruf oder der Link über http erfolgte.

Über VPN lässt sich ein entfernter Rechner sicher verschlüsselt mit einem Netz, z.B. dem RUB-Netz, verbinden. Der Datenverkehr zwischen dem entfernten Rechner und dem angebundenen Netz wird komplett verschlüsselt. Der entfernte Rechner wird somit quasi Teil des angebundenen Netzes und darf gegebenenfalls spezielle Ressourcen nutzen.

Zahlreiche Dienste, Ressourcen und interne Webseiten an der Ruhr-Universität sind von außen nur erreichbar, wenn man eine VPN-Verbindung nutzt.

Bei Schwachstellen im Browser kann man sich bereits beim Ansurfen von Webseiten mit Malware infizieren. Aktualisierungen der Browser-Hersteller sollte man also so schnell wie möglich installieren, um die Gefahr gering zu halten. Es empfiehlt sich, Aktualisierungen automatisch vom Browser vornehmen zu lassen. Die meisten Browser bieten ein solches Auto-Update an. Auf Windows- oder Apple-Systemen vorinstallierten Browser (Safari, Internet Explorer und Edge) werden in der Regel mit den Updates der Betriebssysteme aktualisiert.

Webseiten, die personenbezogene Daten über ein Kontaktformular übertragen, sind nach der DS-GVO mit angemessenen technischen und organisatorischen Maßnahmen abzusichern. Art. 32 Abs. 1a) nennt dazu ausdrücklich die Verschlüsselung als technische Maßnahme.

Mit dem zentralen Webserver und dem RUB-FormMailer können Einrichtungen der RUB rechtssicher verschlüsselte Seiten mit Web-Formularen erstellen. Um den Datenschutz-Anforderungen zu genügen, muss für jedes Web-Formular, das personenbezogene Daten überträgt, eine angepasste Datenschutzerklärung vorgehalten werden.