Chrome: HTTPS-First-Modus ab Version 94 verfügbar

Schon seit langer Zeit versucht man bei Google, das Web unter anderem dadurch sicherer zu bekommen, indem man die Verwendung von HTTPS als Standard für Webseiten durch diverse Maßnahmen vorantreibt. Mit Version 94 soll Chrome zukünftig noch mehr Möglichkeiten bieten, um Nutzern das deutlich sicherere Protokoll schmackhaft zu machen. So kommt unter anderem ein HTTPS-First-Modus zum Einsatz. Jener versucht, sämtliche Seitenaufrufe auf HTTPS zu zwingen. Sollte dies mal nicht möglich sein, weil eine Webseite das Protokoll noch nicht unterstützt, wird eine ganzseitige Warnung angezeigt. Man prüfe aktuell noch, ob der neue Modus nicht gar zum Standard für alle Nutzer wird, den man dann optional deaktivieren kann.

Außerdem weist Google darauf hin, dass man bereits ab M92 dafür sorgen wird, dass das Schlosssymbol in der Adresszeile beim Laden einer HTTPS-Seite experimentell durch andere, neutralere Symbole ersetzt wird. So habe man in einer Studie herausfinden können, dass gerade einmal 11 % aller teilnehmenden Nutzer in der Lage waren, das Schloss korrekt zu deuten und der Rest davon ausgegangen ist, dass die gesamte Webseite sicher sei – nicht nur der Ladevorgang jener.

Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf ge­lan­gt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir ei­ne kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Avatar-Foto

Nordlicht, Ehemann und Vater. Technik-verliebt und lebt fürs Bloggen. Außerdem: Mail: benjamin@caschys.blog / Mastodon

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

7 Kommentare

  1. Beim Firefox gibt es diese Funktion auch schon. Allerdings ist der „immer“ Modus nicht als Standard eingestellt.
    Finde ich gut, wenn es mehr Druck auf die Seitenbetreiber ausübt.

  2. NanoPolymer says:

    Funktionen zu vereinfachen ist gut, diese dann aber irgendwo in den Hintergrund zu rücken weil 90% nicht fähig sind damit umzugehen finde ich ist nicht der richtige Weg.

    Was soll außerdem der Umkehrschluss sein? Jetzt denken die die Seiten sind generell unsicher?

    Im Browser jetzt irgendwelche Infofenster einzublenden wäre ein Weg, könnte aber nerven.

    Wieder etwas für den Unterricht Richtung Medienkompetenz. Für die älteren weis ich nicht wie man damit sinnvoll umgeht.

    Dieser HTTPS Zwang ist auch so eine Sache und scheinbar selber von Google nicht verstanden. Oder korrigiert mich. Aber wenn ich nur statisches HTML übertrage ohne Daten der Nutzer zu verarbeiten brauch ich kein SSL. Wenn die Zertifikate den wenigstens überall kostenlos wären. Selbst für Domains die nur umleiten braucht man theoretisch eines.

    • HTTPS Zertifikate bekommt man doch super einfach und kostenlos über Let’s Encrypt. Warum sollte man einen anderen, kostenpflichtigen Anbieter nutzen?

      Und beim Übertragen vom statischen HTML-Content kann es trotzdem extrem einfach MITM Attacken geben. Man konnte sich schon vor Jahren einfach Apps aufs Handy laden und damit von beliebigen Geräten im Netzwerk den HTTP-Verkehr austauschen. Das kriegt jeder Idiot hin und ist nicht gerade was, was bspw. in öffentlichen Hotspots wünschenswert wäre. Da kann dir jemand auf Nachrichten-Seiten andere Nachrichten vorsetzen. Er könnte problemlos die Bilder auf einer Seite austauschen (Erwachseneninhalte auf einer Kinderplattform zum Beispiel). Oder ganz dezent einfach die Links auf einer Seite tauschen, die dich zu Phishing Seiten führen. Unverschlüsselte Seiten gehören aus dem Browser verbannt – Ausnahmen höchstens für lokale Netze.

      • NanoPolymer says:

        „Jeder“ gefällt mir. Du redest von diesen 90% die nicht fähig sind das Schloss richtig zu interpretieren. Ja vor denen hab ich ganz ganz doll Angst. Das sind die die denken die haben das Internet kaputt gemacht wenn sie aus versehen die Developer Tools öffnen.

        Lets Encrypt ist im allgemeinen überhaupt nicht einfach. Wenn ich nicht selber Hoste (was ja bedeuten würde das ich irgendwie Ahnung von allem habe) bin ich schon mal drauf angewiesen das der Dienst unterstützt wird. Und wenn darf ich alle drei Monate manuell erneuern bei den meisten. Sicher geht das auch automatisch, machen die meisten Hoster nicht. Vielleicht um die kostenpflichtigen Zertifikate zu pushen. Was auch funktioniert. Da wird dann lieber 2,99 pro Monat bezahlt als sich alle 3 Monate drum zu kümmern.

        Den Punkt das man bei HTTP die Inhalte ändern kann geb ich dir aber. Wenn auch die Einfachheit die du da siehst ich nicht sehe. Was aber kein Grund wäre dann nicht per default auf SSL zu setzten. Nur dann wäre es halt cool wenn so eine reine Domain Validierung bei jeder Domain automatisch dabei ist.

        • Na gut, vielleicht nicht „jeder“. Aber zumindest jeder, der sich damit 10 Min auseinandersetzt und grundsätzlich weiß wie ein Computer funktioniert. Wollte damit eigentlich nur sagen, dass selbst die Experten da kaum einen Finger rühren müssen, weil das eben so einfach ist.

          Let’s Encrypt ist an sich schon einfach. acme.sh oder certbot installieren, Befehl ausführen und fertig. Der Rest passiert automatisch, genau so wie das Aktualisieren nach 3 Monaten. Klar mag das bei den einzelnen Anbieter schwieriger sein (bei den meisten würde ich aber behaupten sogar einfacher, da keine Kommandozeile benötigt wird). Aber ganz ehrlich, wer sich als Webadmin nicht mal 10 Min. Zeit nimmt sich einzulesen, wie genau die wohl essenziellste Sicherheitstechnologie für seinen Webspace funktioniert – da hab ich wenig Mitleid wenn man denen 3€ im Monat aus der Tasche zieht. Bequemlichkeit und Abwälzen von Aufgaben kostet halt was. Und ganz ehrlich, eine Webseite zu einem Anbieter mit gescheitem Let’s Encrypt Support (inkl. automatischer Verlängerung) umzuziehen ist ja wohl wirklich ein Klacks für die Durchschnittswebseite. Klar, riesen Webseiten sind nicht ganz so trivial, aber hinter solchen Webseiten steht auch meist ein ganzes IT-Team und da wird ja hoffentlich jemand wissen wie man das Ganze löst. Oder man bezahlt gleich einen Dienstleister. Mal abgesehen davon, dass es bei solchen Webseiten eh nicht auf 3€/Monat ankommt.

          Ich hab da wirklich begrenzt Mitleid. Wer es als Webadmin nicht hinkriegt, sich ein kostenloses Zertifikat zu besorgen (gibt’s ja nicht erst seit gestern), der sollte vielleicht gar keine Webseite hosten. Bzw. dann muss man halt zahlen. Die IT-Welt verändert sich halt, vor allem im Bezug auf Sicherheit. Für eine Technologie, die aus dem letzten Jahrtausend stammt, war nun wirklich mehr als genug Zeit sich damit auseinanderzusetzen. Ist ja auch nicht erst seit gestern bekannt, dass z.B. Suchmaschinen HTTP niedriger ranken oder eben Warnungen angezeigt werden.

          Deswegen Fortschritt aufhalten und die Sicherheit im Netz ausbremsen, nur weil sich ein paar Webadmins querstellen, weil das ja angeblich alles so kompliziert und teuer sei? Und es muss ja nicht mal Let’s Encrypt sein. Je nach Szenario kann auch z.B. Cloudflare SSL einfacher einzubinden sein. Aber ja, das würde voraussetzen, dass Webadmins Lust haben sich damit auseinanderzusetzen…

          • NanoPolymer says:

            Und das können bei dir im Umfeld alle? Wo arbeitest du in einer Programmier Bude oder ähnlichem?

            Ich sag nur 90%, das dokumentiert sich doch von selbst xD die sollen ein Skript installieren und ausführen, genau. Den explodiert schon der Kopf wenn man ihnen sagt das deren Daten auf einen Rechner irgendwo in der Welt liegen.

            • Ja, ich arbeite in der IT und da können das alle. Und ja, mir ist klar dass das nicht jeder kann. Und genau das war mein Punkt: wenn man sowas simples nicht kriegt, sollte man lieber gleich das ganze Webadmin-Spielen sein lassen. Ich will gar nicht wissen was man dann sonst noch falsch macht (z.B. jahrelang keine Sicherheitslücken patchen), wenns schon an SSL-Zertifikaten scheitert.

              Solche Leute sind dann gut bedient mit einem Hoster wo man sich um nichts kümmern muss. Und dann muss man halt 3€ für SSL zahlen. So ist das in jeder Branche. Wenn man es nicht selber kann zahlt man Geld dafür.

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor. In jedes Thema Politik einbringen ist nicht erwünscht.

Du willst nichts verpassen?

Du hast die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.