SSL wird Pflicht: Chrome-Browser warnt vor unverschlüsselten Verbindungen

Mit dem Update auf Chrome 68 warnt der beliebteste Browser seine Nutzer vor unverschlüsselten Webseiten. Betroffene Webmaster sollte das zum Handeln zwingen.

Google verteilt in diesen Tagen Chrome 68, die neueste Version seines Web-Browsers. Dieser enthält einige Neuerungen – am schwersten wiegt aber wohl eine essenzielle Änderung im Umgang mit HTTP: Ab Version 68 warnt Chrome vor unverschlüsselten Verbindungen zu Webseiten. Das bedeutet für Admins, die ihre Webseiten nicht mit einem SSL-Zertifikat versehen haben, unter Umständen viele Support-Anfragen von verunsicherten Besuchern, die ihre Seite mit dem beliebtesten aller Browser aufgesucht haben.

Weniger versierte Web-Nutzer haben die Unterschiede zwischen HTTP und HTTPS in der Adresszeile schließlich bisher eher nicht beachtet und verstehen auch nicht unbedingt, was ein SSL-Zertifikat ist oder wie Transportverschlüsselungen die Verbindungen im Netz sicherer macht. Aber gerade diese Art von Besuchern verwendet zum größten Teil Chrome. Sie werden nun deutlich vor „unsicheren Webseiten“ gewarnt.

Die Umstellung ist Teil einer Strategie der Google-Entwickler, mit der sie Web-Admins dazu zwingen wollen, ihre Webseiten per SSL/TLS zu verschlüsseln. Das Ziel ist löblich, denn spätestens seit Edward Snowden vor fünf Jahren mit seinen NSA-Enthüllungen an die Öffentlichkeit ging, wissen wir, dass Geheimdienste unverschlüsselten Web-Traffic im großen Stil speichern und analysieren. Big-Data-Techniken erlauben es so, sehr viel über die Gewohnheiten fast jeden Web-Nutzers zu erfahren. Würden wir alle Verbindungen im Netz standardmäßig transportverschlüsseln, könnte man deren Inhalt zwar noch auf den entsprechenden Servern abgreifen. Der massenhaften Analyse dieser Daten an Internetknotenpunkten wäre aber immerhin ein Riegel vorgeschoben.

Aus genau diesem Grund sind mittlerweile so ziemlich alle großen und mittelgroßen Webseiten nur noch über HTTPS zu erreichen. Mozillas Browser Firefox lädt knapp 71 Prozent aller Webseiten weltweit mittlerweile verschlüsselt. HTTPS sei „billiger und einfacher zu nutzen als je zuvor“, so die Sicherheitschefin des Chrome-Browsers kürzlich in einem Blog-Beitrag. Vor allem die kostenlose Zertifizierungsstelle Let’s Encrypt, an der Google und Mozilla beteiligt sind, hat dafür gesorgt, dass HTTPS für Admins einfacher und billiger umzusetzen ist als je zuvor. Google übt mit seiner Umstellung nun also Druck auf den Rest der Seitenbetreiber aus, die noch über HTTP erreichbar sind. Google ist damit nicht allein: Mozilla geht mit Firefox ähnliche Wege.

2018-07-24T22:27:14+00:00