Chrome verabschiedet sich von HTTP

12.10.2016 | Petra Alm

Dem Browser Chrome von Google ist das Streben, den Schutz der Internetnutzer ständig zu verbessern, eigen. Vor Kürze hat er in dieser Richtung einen weiteren Schritt gewagt – neu warnt er vor Webseiten, die HTTPS verwenden sollten, aber tun das nicht. Das nächste Jahr wird der Browser auf die nicht abgesicherten Seiten noch deutlicher hinweisen. Diese Maßnahmen verfolgen ein gemeinsames Ziel – die nicht verschlüsselten Webs durch HTTPS zu ersetzen.

Neues Symbol warnt vor Webs, die Privatdaten über HTTP absenden

Vor Kurzem hat Chrome die Sicherheitsindikatoren nach den Schlussfolgerungen der Studie Rethinking Connection Security Indicators umgearbeitet. Die Forschung hat nach den anschaulichsten Symbolen aus der Sicht der Benutzer gesucht und fand heraus, dass die Farbe des Indikators für die Bedeutung der Meldung nicht relevant ist. Die wichtigste Botschaft wird von dem Piktogramm – Icon – und den schriftlichen Informationen übermittelt, die das Symbol begleiten. Dem Thema widmet sich näher unser vorheriger Artikel Neue Sicherheitsindikatoren im Chrome stammen von einer Meinungsumfrage.

Google setzt voraus, dass diese Anpassung das Problem der Zersplitterung und Unverständlichkeit der Sicherheitswarnungen gelöst hat und schreitet mutig in dem Kampf um das verschlüsselte HTTPS-Protokoll fort. Die Umsetzung auf HTTPS ergibt nämlich einen Sinn nur im Kontext des ganzen Webs – das Protokoll ersetzt und nicht ergänzt das nicht abgesicherte HTTP. Von der Fehldeutung der Problematik zeugt die Anzahl von Webs, die auf HTTPS nur die Login-Seite umgeleitet haben. Falls jedoch auf der Webseite, die auf den Server Passwörter oder Kartennummer absendet, nicht das HTTPS eingesetzt wird, wird uns Chrome auf die potentielle Gefahr mit dem folgenden Indikator aufmerksam machen:

Neuer Hinweis von Chrome

Mit dieser Grafik wird der Besucher vor den Webs gewarnt, die die Passwörter und Kartenangaben unverschlüsselt absenden

In der ersten Phase der Eliminierung von HTTP wird Chrome nur die Webs auswählen, auf welchen HTTP anstatt von HTTPS ausdrücklich falsch eingestellt ist – es geht gerade um die oben erwähnten Seiten, die die eingegebenen Passwörter und Kreditangaben nicht gehascht, sondern im Klartext übertragen. Weitere Maßnahmen werden in Zukunft folgen.

HTTP wird als nicht vertrauenswürdig eingestuft

Der rote Sicherheitshinweis deutet traditionell auf ein Problem hin – es handelt sich zum Beispiel um ein abgelaufenes oder gefälschtes Zertifikat. Dem Besucher wird das Risiko erklärt und das Aufrufen der Webseite abgeraten. Ähnlich wird im Laufe der Zeit auch das HTTP-Protokoll eingestuft. Im Januar 2017 soll Google die Chrome-Version 56 ausliefern, die im Rahmen der Verschärfung der Sicherheitsmaßnahmen die fehlende Vertrauenswürdigkeit von HTTP aktiv mit einem roten Dreieck bekanntmachen wird:

Neuer Chrome-Indikator

Nicht abgesichertes HTTP in Chrome – Entwurf des Indikators in den kommenden Versionen

Der oben wiedergegebene Hinweis wird vorläufig nur in dem Privaten Fenster dargestellt, aber perspektivisch plant Chrome alle HTTP-Seiten als nicht vertrauenswürdig zu bezeichnen und mit einem ähnlichen Gedanken befasst sich auch Mozilla mit Firefox. Nicht verschlüsselte Webs werden somit motiviert, den Traffic endlich auf HTTPS umzuleiten. Je früher, desto besser sowohl für sie als auch ihre Besucher.

HTTPS ist für alle und ohne Kosten erreichbar

Googles Initiative können wir nur loben, weil sie zur schnelleren Verbreitung des verschlüsselten Datenverkehrs beiträgt. Das SSL-Zertifikat kann heutzutage jeder einfach erwerben und es gibt keinen Grund, die Einsetzung von HTTPS noch immer zu überlegen oder sogar abzulehnen. HTTP müssen wir loswerden, auch wegen des neuen modernen Protokolls HTTP/2, das das Web deutlich beschleunigen und das verschlüsselt sein wird – bei HTTP/2 wird die Chiffrierung von den Browsern nämlich erfordert.

Dank der Teilnahme von Zoner Software in dem Programm Encryption Everywhere, das die größte Zertifizierungsstelle der Welt Symantec gegründet hat, können Sie bei unserem SSLmarket auch das kostenlose BasicDV-Zertifikat einfach erwerben.

Alle Mythen über HTTPS sind somit gefallen. Die Umleitung ist preiswert, weder verlangsamt den Server noch verschlimmert die SEO-Ergebnisse. Dank dem HTTP/2 gilt das Gegenteil und für HTTPS vergibt Google sogar einen kleinen SEO-Bonus.

Für Projekte, die ein höheres Niveau der Authentifizierung benötigen, können Sie ein stärker validiertes Zertifikat erwerben, zum Beispiel ein EV-Zertifikat mit dem Firmennamen in der Adressleiste. Hauptsache ist, sich von HTTP endlich zu verabschieden.

Quellen

  1. Google security blog. Moving towards a more secure web. Hier aufrufbar.
  2. Felt, Adrienne Porter, et al. "Rethinking Connection Security Indicators." Twelfth Symposium on Usable Privacy and Security (SOUPS 2016). 2016. Hier aufrufbar.

Petra Alm
Spezialistin für TLS-Zertifikate
DigiCert TLS/SSL Professional
e-mail: info(at)sslmarket.de