Google Chrome: Ab Juli 2018 werden HTTP-Seiten als unsicher angezeigt

Google hat bekannt gegeben, dass man ab Juli 2018, mit dem Release von Chrome 68, alle Seiten, die nicht auf HTTPS setzen als unsicher ausweisen will. Bislang weist Google die Seiten nicht explizit als unsicher aus, sondern informiert in der Adressleiste mit einem i, dass die Verbindung zur Seite nicht verschlüsselt ist. Erst der Klick auf das i offenbart diese Tatsache. Mit Chrome 68 wird der Text „Nicht sicher“ direkt in der Adressleiste stehen.

Google gibt auch Statistiken an. So sind 68 Prozent des Traffics von Chrome unter Android und Windows nun über HTTPS laufend, 78 Prozent bei macOS und Chrome OS. Seit 2014 ist HTTPS in der Google-Suche auch ein Ranking-Faktor.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Avatar-Foto

Hallo, ich bin Carsten! Ich bin gelernter IT-Systemelektroniker und habe das Blog 2005 gegründet. Seit 2008 ist es Beruf(ung). Baujahr 1977, Dortmunder im Norden, BVB-Fan und Vater eines Sohnes. Auch zu finden bei X, Threads, Facebook, LinkedIn und Instagram.

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

24 Kommentare

  1. KRasse Sache, wie kommt man günstig an SSL Zertifikate? Sind ja fast teurer als Domain selbst.

  2. Und mir fällt gerade auf, dass der Blog hier jetzt auch HTTPS nutzt. Klasse caschy! Finde ich sehr gut!

  3. Seit dem Start von Letsencrypt Ende 2015 hat sich die Verbreitung von https massiv beschleunigt.

    Allerdings finde ich die Warnung „etwas ambivalent“: Bei Seiten, die nur Texte enthalten und bei denen es nichts zum Eingeben gibt, ist eigentlich nichts unsicher. Ok, die Site könnte gefakt sein. Aber das dürfte in den meisten Fällen doch sehr unwahrscheinlich sein.

    Wer eine Dienstleistung per Website anbietet, der kommt um eine Verschlüsselung ohnehin nicht mehr rum. Ich bin allerdings gespannt, ob all jene Zeitungen, die aktuell noch unverschlüsselt sind, in den nächsten Monaten endlich wechseln.

    http://www.spiegel.de/ und http://www.tagesspiegel.de/ sind bsp. bis jetzt unverschlüsselt. Beim Tagesspiegel sieht dieses rot durchgestrichene Schloß im FF schon jetzt häßlich aus.

    • Doch, man kann dann nämlich nachverfolgen, welche Unterseiten du auf der Website aufgerufen hast und somit nachvollziehen, was dich auf dieser Website interessiert hat. Bei https gesicherten Verbindungen kann man nur die Domain selbst nachverfolgen.

      • Äh, wat?

        Dabei spielt HTTPS wirklich überhaupt keine Rolle, das geht auch mit HTTPS.

      • Das geht auch bei https-Seiten, sofern der Browser einen Referrer mitschickt. Wobei man das inzwischen per Server-Header Referrer-Policy einschränken kann: Bsp. einen Referrer nur, wenn es von der aktuellen Seite zu einer anderen verschlüsselten Seite auf derselben Domain geht. Ferner gibt es im FireFox (about:config) die Option network.http.sendRefererHeader, mit der man das im Browser unterbinden kann.

        PS: Etwas schräg – der Header schreibt sich mit zwei r, die Option mit einem r.

        • Das verhindert aber auch nur, dass man nicht sieht von welcher Seite X man auf Seite B kam.

          Mit dem eigentlichen Erfassen, welche „Unterseiten“ einen interessiert haben, hat auch das nichts zutun. Ansonsten wären Google Analytics & Co jetzt nachdem alle Seiten HTTPS nutzen arbeitslos.

          Also mit mehr Privatsphäre hat HTTPS Mal so gar nichts am Hut, das kann man genauso erfassen wie ohne HTTPS.

    • Das kannst du so sehen, allerdings ist die Marschrichtung der großen Browserhersteller klar. HTTP soll verlassen werden, HTTPS soll zum Grundstandard im Web werden.
      Features wie die Geolocation-API funktionieren bei Chrome und Firefox heute schon nur im sicheren Kontext, in Zukunft wird das für alle Webstandards gelten, selbst wenn es sich nur um CSS-Regeln handelt. Jeder Websitenbetreiber wird gezwungen sein auf HTTPS zu setzen, jedenfalls wenn er mehr als ein paar Textzeilen darstellen möchte.
      Diskutieren kann man eher, ob „sicher“ eine so gute Wortwahl war. Denn „sicher“ kann auch eine Phising-Site sein, die HTTPS benutzt. Wobei das nicht mal schlecht sein muss: https://scotthelme.co.uk/we-need-more-phishing-sites-on-https/

      • Persönlich begrüße ich https außerordentlich, meine eigenen Websites sind längst schon umgestellt. Neue Websites werden heutzutage bei großen Providern meist schon standardmäßig mit kostenlosem Letsencrypt-Zertifikat angeboten. Unternehmenswebsites sollten ohnehin ausschließlich verschlüsselt laufen. Aber es gibt eben auch diverse ältere, kleine Seiten ohne Eingabemöglichkeit. Die sind nicht plötzlich „unsicher“.

        • Ja wie gesagt, die Wortwahl halte ich in dem Zusammenhang mit HTTPS auch für ziemlich unglücklich. Gutes Security-Design ist einfach verdammt schwer.

  4. Herr Hauser says:

    Über https://www.checkdomain.de/ssl/zertifikat/ssl-free/ kann man einfach und kostenlos ein SSL-Zertifikat bestellen, was man auch bei anderen Webhostern, die Let’s Encrypt unterstützen, verwenden kann.

  5. Da werde ich ja ganz wuschig <3

  6. Ich kann hier Cloudflare empfehlen. Es muss nur einmal deren Nameserver eingetragen werden und die erledigen den Rest. Einfacher gehts nicht, und vorallem muss man sich auch nicht alle paar Jahre um ein neues Zertifikat kümmern.

    • So einfach ist es m.W. nicht. Wir hatten bis kürzlich CF laufen und haben immer noch CF als Namserver. Davon haste nicht automatisch dein HTTPS.

  7. Es gehört einfach alles verschlüsselt, unabhängig von der Vertraulichkeit der übertragenen Daten. Wenn man nur das verschlüsseln sollte, was wirklich sensibel ist, würde man Angreifern zeigen, wo es was zu holen gibt. Deswegen: 100% Verschlüsselung muss das Ziel sein. Wenn 99% davon nichts enthalten, was interessant ist, hat man den Aufwand für Angreifer mit Faktor 100 erhöht. Macht es ihnen so schwer wie möglich. Einfach mal „NSA am DE-CIX“ darf nichts mehr bringen. Weder unnütze, noch nützliche Informationen. Nur so können wir sie zwingen, es bleiben zu lassen.

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor.

Du willst nichts verpassen?

Du hast die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.