Chrome markiert bald alle HTTP-Webseiten als unsicher

Ab Juli wird der Chrome-Browser alle unverschlüsselten HTTP-Webseiten deutlich als unsicher kennzeichnen. Googles Botschaft an Seitenbetreiber: Setzt endlich HTTPS ein!

Google ist sich sicher: „A secure web is here to stay“, das sichere Netz ist gekommen, um zu bleiben. Seit einigen Jahren wiederholt Google immer wieder, dass Seitenbetreiber unbedingt HTTPS einsetzen sollen. Seit 2014 ist SSL sogar ein Ranking-Faktor: Eine HTTPS-Verschlüsselung verbessert die Position bei Google. Unverschlüsselte Seiten landen unter Umständen auf den hinteren Suchergebnisseiten.

Googles Hausbrowser Chrome markiert seit einer Weile HTTPS-Seiten mit einem grünen Schloss und dem Text „Sicher“. Bei HTTP-Verbindungen erscheint bislang nur ein neutrales i-Symbol in der Adressleiste; erst ein Klick darauf öffnet einen Warnhinweis: „Die Verbindung zu dieser Seite ist nicht sicher“. Ab Juli 2018 soll dieser Hinweis viel deutlicher ins Auge fallen, kündigte Google nun an. Neben dem „i“ steht dann ein breites „Not secure“, unsicher. Mit dem Erscheinen von Chrome 68 soll es soweit sein.

Webentwickler und Seitenbetreiber haben auf Googles Empfehlung offenbar gehört: Laut Google-Statistik ist bereits 68 Prozent des Chrome-Traffics unter Windows und Android verschlüsselt. Unter Chrome OS und macOS sind es sogar 78 Prozent. Von den Top-100-Websites nutzen 81 HTTPS – ebenfalls ein guter Wert. Damit es noch mehr werden, stellt Google einige Hilfswerkzeuge parat. Um Mixed Content aufzuspüren (also den ungewollten Mix aus unsicheren und verschlüsselten Inhalten), gibt es einen speziellen Audit. Lighthouse für die Dev-Tools soll zudem die Qualität von Webseiten verbessern. Das Tool findet Ressourcen, die der Browser noch via HTTP lädt.

Google lässt keine Ausrede mehr zu, denn HTTPS sei günstiger und leichter einzurichten als jemals zuvor. Ein erfolgreiches Beispiel ist die Kampagne Let’s Encrypt, die unter anderen von Google, Mozilla und der Electronic Frontier Foundation getragen wird. Die Initiative versorgt Seitenbetreiber mit kostenlosen SSL-Zertifikaten. Doch deren Einsatz ist nicht bei jedem Web-Hoster möglich. „Wer seine Webseiten bei einem der hiesigen Platzhirsche wie 1&1, Hetzner oder Strato hostet, kommt entweder gar nicht oder nur durch Eigeninitiative in den Genuss der kostenfreien LE-Zertifikate.“ Die Hoster bieten in jedem Fall aber alternative SSL-Zertifikate an, die oftmals keine weiteren Gebühren verursachen.

Doch nicht immer ist eine SSL-verschlüsselte Seite auch sicher, zumindest aus Googles Sicht: Mit Chrome 66 und 70 will das Unternehmen gut hunderttausend der wichtigsten Domains das Vertrauen entziehen. Nutzer werden gewarnt, wenn der Browser auf ein Symantec-Zertifikat trifft, das vor dem 1. Juni 2016 ausgestellt wurde. Mit Version 70 stuft Chrome alle Verbindungen, die Symantec-Zertifikate nutzen, sogar als nicht vertrauenswürdig ein und warnt noch lauter. Ein ordentlicher Denkzettel für Symantec, nachdem das Unternehmen unberechtigterweise Tausende Zertifikate auf Domains – darunter auch google.com – ausgestellt hatte.

2018-02-09T11:49:51+00:00