Google Chrome: Mehr Sicherheit durch Abschied von HTTP
von André Westphal | 15 Kommentare
Chrome weist aktuell in der Adresszeile auf sichere Verbindungen hin. Ein Icon soll etwa Sicherheit vermitteln, wenn HTTPS benutzt wird. Bisher kennzeichnete Google reguläre HTTP-Verbindungen allerdings nicht explizit als unsicher – obwohl jene für die Übertragung sensibler Daten natürlich nicht geeignet sind. Das soll sich ab Januar 2017 ändern. Ab Chrome 56 werden HTTP-Sites, die z. B. Kreditkartendaten oder Passwörter übertragen sollen, eindeutig als unsicher gekennzeichnet. Damit verfolgt Google den langfristigen Plan alle HTTP-Verbindungen als Sicherheitsrisiko auszuweisen.
Aktuell werden HTTP-Verbindungen in Chrome mit einem neutralen Icon gekennzeichnet. Laut Google müsse man dies aber überdenken, weil das Fehlen von Sicherheitsmaßnahmen bei HTTP-Übertragungen transparenter werden sollte. Immer mehr Traffic wandere zu HTTPS ab: Mehr als die Hälfte aller Websites, die an Desktop-PCs geladen werden, setzen laut Google bereits jetzt auf HTTPS-Übertragung.
Ein Problem bleibe jedoch, dass die meisten User das Fehlen eines Zeichens für die sichere Übertragung noch nicht als Manko wahrnehmen würden. Zugleich würde man sich aber auch keinen Gefallen tun, wenn man die Anwender ständig warne – das führe nur zur Abstumpfung. Deswegen wolle man Sites mit HTTP-Übertragung schrittweise nach bestimmten Kriterien als unsicher markieren. Nach und nach sollen dann alle HTTP-Sites als unsicher gebrandmarkt werden. Am Ende werden ihr dann also bei HTTP-Sites stets das rote Warndreieck sehen, das aktuell defekte HTTPS-Übertragungen bezeichnet.
Weitere Details zu den Plänen will Google nach und nach enthüllen. Man rät Website-Betreibern aber schon jetzt soweit wie möglich auf HTTPS umzusteigen.
Wird geladen ...
…und wann wird dieser Blog auf HTTPS umgestellt? 😉
Finde ich sehr cool von Google, das liebe ich so richtig <3
@Max32 Für dieses und nächstes Jahr gibt es keine Pläne
Ich verstehe nicht wieso so viele noch auf SSL Verschlüsselung verzichten. Zertifikate gibt es doch schon ab 15 Euro jährlich. Daran kann es doch nicht scheitern?
Und via Cloudflare gibts SSL sogar kostenlos.
Let’s Encrypt gibt es ja auch noch und würde für diesen Blog auch ausreichen meiner Meinung nach. Auch ein optionales SSL (also ohne HSTS & Co) würde mir reichen. Da dieser Blog ja eh CloudFlare nützt wäre SSL darüber auch top. Und dann bitte ruhig gleich DNSSEC auch setzen. Danke
@Max32:
Das Problem sind teilweise noch externe Partner wie Werbeanbieter etc.
Auch wenn Google immer weiter die Tür für Werber ohne SSL zumacht, gibt es einfach noch viele Anbieter die kein SSL supporten können oder wollen.
Bei dem Geld dass Werbeanbieter machen, sollte es eigentlich ja möglich sein dass die mal auf HTTPS umstellen. Nicht zuletzt in Zeiten wo das Verwenden von SSL-Zertifikaten dank Let’s Encrypt kein Hexenwerk mehr ist.
Ich gehe aber auch davon aus dass es noch sehr sehr lange dauern wird, bis sich das wirklich durchsetzt und da wird sich auch Google überlegen, wie weit sie da wirklich warnen oder aufdringlich werden. Es nützt ja niemandem was, wenn man ständig vor irgendwas gewarnt wird und dann aus Genervtheit den Browser wechselt. Unabhängig davon dass es aus IT-Sicht prinzipiell wünschenswert ist zu nerven, wenn man bedenkt wie viele ungesicherte Seiten von Unwissenden in WLAN-Netzen verwendet werden und wie viele Passwörter sich in nur 5 Minuten in so ziemlich jedem Cafe mitlesen lassen.
@Dominik Für deine Seite vinyltest.de kannst du aber auch ruhig mal Let’s Encrypt aufsetzen, oder 😉
@Crunchymaster Das kommt auch noch. Ich hatte etwas wenig Zeit und es ist nicht sehr kritisch da es (zumindest vorerst) keine Kommentare gibt.
Ganz schön absurd. Warum sollten Blogs wie dieses sich die Arbeit machen? Hat niemand etwas von.
@Klaus-Peter:
Erstens hat der Seitenbetreiber etwas davon, wenn sein Login und alles was vom oder zum Backend kommt verschlüsselt übertragen wird und somit auch nicht einfach abgefangen und/oder manipuliert werden kann.
Zweitens haben die Besucher etwas davon, wenn sie deutlich sicherer sein können, dass Inhalte und Links und eventuell auch Downloads nicht manipuliert sind.
Na ja, ich finde das etwas Sinnlos. Man kann doch auch ohne HTTPs-Verschlüsselung auch eine „sichere“ Website haben. Ein einfacher Hinweis würde reichen.
Doch Klaus-Peter, allein schon deswegen weil ich hier Kommentare hinterlassen kann und meine E- Mail Adresse angebe, ist ein Grund zum verschlüsseln. Die Daten können so nämlich nicht von dritten ausgelesen oder auch manipuliert werden. Jetzt könnte man sich fragen warum. Ein Kommentar ist ja eh öffentlich und somit für jeden sichtbar. Das stimmt, aber das ich und von dieser IP diesen Kommentar abgeschickt habe und das ich dabei diese E-Mail Adresse angegeben habe wissen dann nur zwei.
Der Betreiber der Seite und ich. Niemand dazwischen, ob Provider, Netz- oder Hotspot-, Proxy-Betreiber oder im Extremfall auch Geheimdienste oder staatliche Stellen können die Daten abgreifen, einsehen und die Quelle ausmachen.
@Dominik Schau mal bei uns vorbei, falls ihr WordPress nutzt bieten wir relativ neu Let’s Encrypt per One-Click an. VG Torben & Team
Solange sie es unter Android für Apps noch erlauben, unverschlüsselte Verbindungen zu Backend-Servern aufzubauen, sehe ich bei Google dennoch nicht, dass ein Umdenken in Sachen Sicherheit eingesetzt hat.
@name wird benötigt, es geht aber auch so weit dass da HTTPS manipuliert werden kann jemand mit genug spaß dir GANZ EINFACH schaden kann, insbesondere da es keinen edit button gibt.