Google Chrome: Ab Juli 2018 werden HTTP-Seiten als unsicher angezeigt

Google hat bekannt gegeben, dass man ab Juli 2018, mit dem Release von Chrome 68, alle Seiten, die nicht auf HTTPS setzen als unsicher ausweisen will. Bislang weist Google die Seiten nicht explizit als unsicher aus, sondern informiert in der Adressleiste mit einem i, dass die Verbindung zur Seite nicht verschlüsselt ist. Erst der Klick auf das i offenbart diese Tatsache. Mit Chrome 68 wird der Text „Nicht sicher“ direkt in der Adressleiste stehen.

Google gibt auch Statistiken an. So sind 68 Prozent des Traffics von Chrome unter Android und Windows nun über HTTPS laufend, 78 Prozent bei macOS und Chrome OS. Seit 2014 ist HTTPS in der Google-Suche auch ein Ranking-Faktor.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

caschy

Hallo, ich bin Carsten! Baujahr 1977, Dortmunder im Norden, BVB-Getaufter und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Das könnte dir auch gefallen…

Mit dem Absenden eines Kommentars willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

24 Kommentare

  1. KRasse Sache, wie kommt man günstig an SSL Zertifikate? Sind ja fast teurer als Domain selbst.

  2. Und mir fällt gerade auf, dass der Blog hier jetzt auch HTTPS nutzt. Klasse caschy! Finde ich sehr gut!

  3. Seit dem Start von Letsencrypt Ende 2015 hat sich die Verbreitung von https massiv beschleunigt.

    Allerdings finde ich die Warnung „etwas ambivalent“: Bei Seiten, die nur Texte enthalten und bei denen es nichts zum Eingeben gibt, ist eigentlich nichts unsicher. Ok, die Site könnte gefakt sein. Aber das dürfte in den meisten Fällen doch sehr unwahrscheinlich sein.

    Wer eine Dienstleistung per Website anbietet, der kommt um eine Verschlüsselung ohnehin nicht mehr rum. Ich bin allerdings gespannt, ob all jene Zeitungen, die aktuell noch unverschlüsselt sind, in den nächsten Monaten endlich wechseln.

    http://www.spiegel.de/ und http://www.tagesspiegel.de/ sind bsp. bis jetzt unverschlüsselt. Beim Tagesspiegel sieht dieses rot durchgestrichene Schloß im FF schon jetzt häßlich aus.

    • Doch, man kann dann nämlich nachverfolgen, welche Unterseiten du auf der Website aufgerufen hast und somit nachvollziehen, was dich auf dieser Website interessiert hat. Bei https gesicherten Verbindungen kann man nur die Domain selbst nachverfolgen.

      • Äh, wat?

        Dabei spielt HTTPS wirklich überhaupt keine Rolle, das geht auch mit HTTPS.

      • Das geht auch bei https-Seiten, sofern der Browser einen Referrer mitschickt. Wobei man das inzwischen per Server-Header Referrer-Policy einschränken kann: Bsp. einen Referrer nur, wenn es von der aktuellen Seite zu einer anderen verschlüsselten Seite auf derselben Domain geht. Ferner gibt es im FireFox (about:config) die Option network.http.sendRefererHeader, mit der man das im Browser unterbinden kann.

        PS: Etwas schräg – der Header schreibt sich mit zwei r, die Option mit einem r.

        • Das verhindert aber auch nur, dass man nicht sieht von welcher Seite X man auf Seite B kam.

          Mit dem eigentlichen Erfassen, welche „Unterseiten“ einen interessiert haben, hat auch das nichts zutun. Ansonsten wären Google Analytics & Co jetzt nachdem alle Seiten HTTPS nutzen arbeitslos.

          Also mit mehr Privatsphäre hat HTTPS Mal so gar nichts am Hut, das kann man genauso erfassen wie ohne HTTPS.

    • Das kannst du so sehen, allerdings ist die Marschrichtung der großen Browserhersteller klar. HTTP soll verlassen werden, HTTPS soll zum Grundstandard im Web werden.
      Features wie die Geolocation-API funktionieren bei Chrome und Firefox heute schon nur im sicheren Kontext, in Zukunft wird das für alle Webstandards gelten, selbst wenn es sich nur um CSS-Regeln handelt. Jeder Websitenbetreiber wird gezwungen sein auf HTTPS zu setzen, jedenfalls wenn er mehr als ein paar Textzeilen darstellen möchte.
      Diskutieren kann man eher, ob „sicher“ eine so gute Wortwahl war. Denn „sicher“ kann auch eine Phising-Site sein, die HTTPS benutzt. Wobei das nicht mal schlecht sein muss: https://scotthelme.co.uk/we-need-more-phishing-sites-on-https/

      • Persönlich begrüße ich https außerordentlich, meine eigenen Websites sind längst schon umgestellt. Neue Websites werden heutzutage bei großen Providern meist schon standardmäßig mit kostenlosem Letsencrypt-Zertifikat angeboten. Unternehmenswebsites sollten ohnehin ausschließlich verschlüsselt laufen. Aber es gibt eben auch diverse ältere, kleine Seiten ohne Eingabemöglichkeit. Die sind nicht plötzlich „unsicher“.

  4. Herr Hauser says:

    Über https://www.checkdomain.de/ssl/zertifikat/ssl-free/ kann man einfach und kostenlos ein SSL-Zertifikat bestellen, was man auch bei anderen Webhostern, die Let’s Encrypt unterstützen, verwenden kann.

  5. Da werde ich ja ganz wuschig <3

  6. Ich kann hier Cloudflare empfehlen. Es muss nur einmal deren Nameserver eingetragen werden und die erledigen den Rest. Einfacher gehts nicht, und vorallem muss man sich auch nicht alle paar Jahre um ein neues Zertifikat kümmern.

  7. Es gehört einfach alles verschlüsselt, unabhängig von der Vertraulichkeit der übertragenen Daten. Wenn man nur das verschlüsseln sollte, was wirklich sensibel ist, würde man Angreifern zeigen, wo es was zu holen gibt. Deswegen: 100% Verschlüsselung muss das Ziel sein. Wenn 99% davon nichts enthalten, was interessant ist, hat man den Aufwand für Angreifer mit Faktor 100 erhöht. Macht es ihnen so schwer wie möglich. Einfach mal „NSA am DE-CIX“ darf nichts mehr bringen. Weder unnütze, noch nützliche Informationen. Nur so können wir sie zwingen, es bleiben zu lassen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.