Logo von heise online

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.703.355 Produkten

Daniel Berger 822

Chrome markiert bald alle HTTP-Webseiten als unsicher

Google Chrome

Ab Juli wird der Chrome-Browser alle unverschlüsselten HTTP-Webseiten deutlich als unsicher kennzeichnen. Googles Botschaft an Seitenbetreiber: Setzt endlich HTTPS ein!

Google ist sich sicher: "A secure web is here to stay", das sichere Netz ist gekommen, um zu bleiben. Seit einigen Jahren wiederholt Google immer wieder, dass Seitenbetreiber unbedingt HTTPS einsetzen sollen. Seit 2014 ist SSL sogar ein Ranking-Faktor: Eine HTTPS-Verschlüsselung verbessert die Position bei Google. Unverschlüsselte Seiten landen unter Umständen auf den hinteren Suchergebnisseiten.

Anzeige

Googles Hausbrowser Chrome markiert seit einer Weile HTTPS-Seiten mit einem grünen Schloss und dem Text "Sicher". Bei HTTP-Verbindungen erscheint bislang nur ein neutrales i-Symbol in der Adressleiste; erst ein Klick darauf öffnet einen Warnhinweis: "Die Verbindung zu dieser Seite ist nicht sicher". Ab Juli 2018 soll dieser Hinweis viel deutlicher ins Auge fallen, kündigte Google nun an. Neben dem i steht dann ein breites "Not secure", unsicher. Mit dem Erscheinen von Chrome 68 soll es soweit sein.

Ab Version 68 kennzeichnet Chrome unverschlüsselte HTTP-Webseiten viel deutlicher als unsicher.
Ab Version 68 kennzeichnet Chrome unverschlüsselte HTTP-Webseiten viel deutlicher als unsicher. (Bild: Google)

Webentwickler und Seitenbetreiber haben auf Googles Empfehlung offenbar gehört: Laut Google-Statistik ist bereits 68 Prozent des Chrome-Traffics unter Windows und Android verschlüsselt. Unter Chrome OS und macOS sind es sogar 78 Prozent. Von den Top-100-Websites nutzen 81 HTTPS – ebenfalls ein guter Wert. Damit es noch mehr werden, stellt Google einige Hilfswerkzeuge parat. Um Mixed Content aufzuspüren (also den ungewollten Mix aus unsicheren und verschlüsselten Inhalten), gibt es einen speziellen Audit. Lighthouse für die Dev-Tools soll zudem die Qualität von Webseiten verbessern. Das Tool findet Ressourcen, die der Browser noch via HTTP lädt.

Google lässt keine Ausrede mehr zu, denn HTTPS sei günstiger und leichter einzurichten als jemals zuvor. Ein erfolgreiches Beispiel ist die Kampagne Let's Encrypt, die unter anderen von Google, Mozilla und der Electronic Frontier Foundation getragen wird. Die Initiative versorgt Seitenbetreiber mit kostenlosen SSL-Zertifikaten. Doch deren Einsatz ist nicht bei jedem Web-Hoster in Deutschland einfach möglich, wie die c't in Ausgabe 4/2018 schreibt: "Wer seine Webseiten bei einem der hiesigen Platzhirsche wie 1&1, Hetzner oder Strato hostet, kommt entweder gar nicht oder nur durch Eigeninitiative in den Genuss der kostenfreien LE-Zertifikate." Die Hoster bieten in jedem Fall aber alternative SSL-Zertifikate an, die oftmals keine weiteren Gebühren verursachen.

Doch nicht immer ist eine SSL-verschlüsselte Seite auch sicher, zumindest aus Googles Sicht: Mit Chrome 66 und 70 will das Unternehmen gut hunderttausend der wichtigsten Domains das Vertrauen entziehen. Nutzer werden gewarnt, wenn der Browser auf ein Symantec-Zertifikat trifft, das vor dem 1. Juni 2016 ausgestellt wurde. Mit Version 70 stuft Chrome alle Verbindungen, die Symantec-Zertifikate nutzen, sogar als nicht vertrauenswürdig ein und warnt noch lauter. Ein ordentlicher Denkzettel für Symantec, nachdem das Unternehmen unberechtigterweise Tausende Zertifikate auf Domains – darunter auch google.com – ausgestellt hatte.

tipps+tricks zum Thema:

(dbe)
Anzeige

822 Kommentare

Themen:

Anzeige
  1. Zertifizierung: Google entzieht Symantec 2018 das Vertrauen

    Zertifizierung: Google entzieht Symantec 2018 das Vertrauen

    Ab April wird der Google-Browser Chrome für Zertifikate Fehler melden, die Symatecs CAs ausgestellt haben. Dazu gehören unter anderem Thawte, VeriSign, Equifax, GeoTrust und RapidSSL. Wer die noch im Einsatz hat, muss bald handeln.

  2. HTTPS-Verschlüsselung: Google verabschiedet sich vom Pinning

    HTTPS-Verschlüsselung: Google verabschiedet sich vom Pinning

    Das Festnageln von Zertifikaten sollte gegen Missbrauch schützen. In der Praxis wurde es jedoch selten eingesetzt. Zu kompliziert und zu fehlerträchtig lautet nun das Verdikt; demnächst soll die Unterstützung aus Chrome wieder entfernt werden.

  3. Chrome soll ab sofort Zertifikate von Symantec herabstufen

    Chrome soll ab sofort Zertifikate von Symantec herabstufen

    Google tadelt abermals Symantec als Zertifizierungsstelle. Als erstes soll Chrome nun Zertifikate herabstufen. Als längerfristiges Ziel ist sogar eine Annullierung vorgesehen. Symantec findet das verantwortungslos.

  4. Chrome entzieht in Zukunft 10 Prozent der wichtigsten SSL-Seiten das Vertrauen

    Chrome entzieht in Zukunft 10 Prozent der wichtigsten SSL-Seiten das Vertrauen

    Mit Chrome 66 und 70 im April und Oktober entzieht Google gut hunderttausend der wichtigsten Domains das Vertrauen, falls diese sich keine neuen SSL-Zertifikate besorgen. Das Ganze ist eine Bestrafungsaktion gegen den Zertifikatsaussteller Symantec.

  1. Chrome blockt Zertifikate mit Common Name

    Chrome blockt Zertifikate mit Common Name

    Wenn der seit Jahren etablierte, hauseigene Dienst plötzlich den HTTPS-Zugang verwehrt, liegt das vermutlich an einer Neuerung der aktuellen Chrome-Version: Google erzwingt den Einsatz der RFC-konformen "Subject Alt Names" und viele Admins müssen deshalb jetzt Hand anlegen.

  2. Welche Browser unterstützen HTML5?

    Es gibt dutzende Web-Browser, die für unterschiedliche Zwecke gedacht sind. Aber welche unterstützen HTML5-Webseiten?

  3. So sichern Sie Windows 10 gegen Erpresser-Trojaner ab

    Erpresser-Trojaner gehören zu den fiesesten Bedrohungen für PCs. Mit einigen Vorkehrungen können Sie sich gegen Lösegeldforderungen schützen.

  1. Mobile World Congress 2018: Auf dem Weg zu 5G

    MWC 2018: Auf dem Weg zu 5G

    Der Markt lässt erstmals nach und das Smartphone ist längst ein gewöhnliches Gebrauchsgut. Zwar gibt es auf dem Mobile World Congress immer noch viele neue Handys, doch findet man Innovationen eher in der Netztechnik.

  2. Domain-Daten und Whois beim Denic: Sag zum Abschied leise Servus

    Sag zum Abschied leise Servus

    Schon bald wird die Denic die Daten von Domaininhabern nur noch sparsam veröffentlichen. Viele Daten wie der alte AdminC werden gar nicht mehr abgefragt, sagt Denic-Geschäftsführer Jörg Schweiger. Das alte Whois wird ein Stück weit Geschichte…..

  3. Unterwegs im BMW i3S

    BMW i3s

    Eine neue Schlupfregelung und eine harmonischere Fahrwerksabstimmung machen den batterieelektrischen BMW i3s zum Agilitätswunder mit ganzheitlichem Ansatz dank Recycling-Materialien und einer mit Strom aus Wasserkraft hergestellten CFK-Karosserie. Aber der Preis ...

  4. Umsteigen von Windows auf den Mac

    Windows Mac Müllkorb

    Der Mac ist logischer, komfortabler, benötigt weniger Wartung und bietet das Beste aus beiden Welten – das sind nur einige der Argumente für den Wechsel. Mac & i zeigt auch, wie sich Windows-Umsteiger in macOS schnell zurechtfinden.

Anzeige