Kein HTTPS: Chrome 68 kenn­zeich­net unsichere Webseiten

Nur kurze Zeit nach dem Release von Chrome 67 am 29. Mai 2018 folgte bereits das nächste Update für den beliebten Browser von Google: Laut dem haus­ei­ge­nem Chromium-Blog gilt Chrome 68 ab Anfang Juli 2018 als stabil und ersetzt somit die vor­an­ge­gan­ge­ne Beta-Version.

Zu den einzelnen, teils ver­nach­läs­sig­ba­ren Mo­di­fi­ka­tio­nen findet man hier eine Übersicht. Insgesamt folgt die Ak­tua­li­sie­rung ganz klar dem Leitsatz der In­ter­net­si­cher­heit. Denn Chrome ist nun offiziell der erste Web­brow­ser, der Webseiten ohne HTTPS explizit als unsicher kenn­zeich­net. Die Chrome Version 70, die im Oktober 2018 folgen soll, ver­schärft das Si­cher­heits­up­date nochmals.Vorherige Versionen und auch der Kon­kur­rent Mozilla Firefox hatten bislang nur in Login-For­mu­la­ren oder bei der Eingabe von Bankdaten darauf hin­ge­wie­sen, wenn die besuchte Seite über kein SSL-Zer­ti­fi­kat verfügt. Wir erklären, was sich im Detail geändert hat und wie Sie als Web­sei­ten­be­trei­ber am besten darauf reagieren.

Schon seit längerer Zeit prä­sen­tiert sich Google als Advokat in Sachen In­ter­net­si­cher­heit. Die im Januar 2017 ver­öf­fent­lich­te Chrome-Version 56 warnte bereits vor Webseiten, die sensible Daten wie Pass­wör­ter, Bankdaten und E-Mail-Adressen über eine un­ver­schlüs­sel­te Ver­bin­dung ver­ar­bei­te­ten. Auch die DSGVO nahm der Konzern sogleich zum Anlass, um Werbung in eigener Sache zu betreiben und die Wich­tig­keit von Da­ten­schutz her­vor­zu­he­ben. In diesem Kontext sollen nun auch Chrome 68 und Chrome 70 dabei helfen, die Nutzer für das Thema zu sen­si­bi­li­sie­ren und sie vor Cy­ber­kri­mi­na­li­tät zu schützen.

Wahr­schein­lich verfolgt Google damit auch eigene In­ter­es­sen: Dem Konzern liegt viel daran, dass Nutzer kei­nes­falls das Vertrauen ins World Wide Web verlieren. Damit das Wachstum des Un­ter­neh­mens nicht einbricht, müssen In­ter­nut­zer mehr und mehr Zeit online ver­brin­gen. Negative Schlag­zei­len aufgrund von In­ter­net­kri­mi­na­li­tät schaden somit auch Google. Eine groß­an­ge­leg­te Kampagne gegen unsichere SSL-Zer­ti­fi­ka­te der Firma Symantec hat bereits gezeigt, wie ernst es Google mit dieser Sache ist. Und dieses Vorgehen Googles für mehr Da­ten­si­cher­heit wirkt sich letztlich auch positiv auf das Image des Un­ter­neh­mens auf, das aufgrund des Sammelns per­so­nen­be­zo­ge­ner Daten selbst immer wieder in Kritik geraten ist.

Es sollte bereits weithin bekannt sein, dass im Google-Ranking Webseiten mit HTTPS gegenüber solchen ohne SSL-Zer­ti­fi­kat bevorzugt werden. Eine gut sichtbare Kenn­zeich­nung als „Nicht sicher“ könnte sich aber noch un­mit­tel­ba­rer auf die Be­su­cher­zah­len einer On­line­prä­senz auswirken. So fand die Zer­ti­fi­zie­rungs­stel­le Glo­bal­sign 2014 durch eine Umfrage heraus, dass sich 85 Prozent der befragten On­line­shop­per von un­ver­schlüs­sel­ten Webseiten ab­ge­schreckt fühlen.

An­ge­sichts der Pio­nier­rol­le von Google in der In­ter­net­bran­che ist es na­he­lie­gend, dass andere Browser-Anbieter dem Vorbild folgen und Web­sei­ten­be­trei­ber ohne gültiges SSL-Zer­ti­fi­kat künftig ebenfalls an­pran­gern werden. Denkbar wäre sogar, dass HTTP-Seiten lang­fris­tig ganz aus dem Index der weltweit meist­ge­nutz­ten Such­ma­schi­ne verbannt werden – konkrete Pläne hierzu sind aber noch nicht bekannt.

Im Mai 2018 ver­kün­de­te Google, dass die bisherige Aus­zeich­nung von sicheren HTTPS-ver­schlüs­sel­ten Webseiten mit einem grünen Vor­hän­ge­schloss künftig wegfallen soll. Google ist der Meinung, dass das Netz "safe by default" sei und damit kein weiterer Hinweis benötigt wird. Internet-Nutzer würden in­zwi­schen erwarten, dass das Web "stan­dard­mä­ßig sicher" ist. Für un­ver­schlüs­sel­te Seite wird al­ler­dings weiterhin der „Nicht sicher“-Hinweis aus­ge­spielt. Sie fallen damit besonders auf und der Hinweis soll Besucher so noch deut­li­cher warnen. Wie auf dem of­fi­zi­el­le Google Chromium Blog zu lesen ist, soll der „Sicher“-Hinweis ab September 2018 mit Chrome 69 ver­schwin­den.

Spä­tes­tens mit dem Update auf Chrome 68 sollten Web­sei­ten­be­trei­ber ernsthaft darüber nach­den­ken, auf HTTPS um­zu­stei­gen. Das Protokoll für die sichere Da­ten­über­tra­gung soll ver­hin­dern, dass unbefugte Dritte die Kom­mu­ni­ka­ti­on zwischen einer Webseite und ihren Besuchern ma­ni­pu­lie­ren oder abhören können. Un­ab­hän­gig davon, ob SSL (Secure Sockets Layer) oder die modernere TLS-Technik (Transport Layer Security) zum Einsatz kommt, hat eine solche Zer­ti­fi­zie­rung durch einen re­nom­mier­ten Anbieter klare Vorteile. Neben Ran­king­vor­tei­len bei Google und einer be­schleu­nig­ten Per­for­mance dank HTTP/2 ist ins­be­son­de­re auch das erhöhte Vertrauen der User ein we­sent­li­cher Pluspunkt, der für den Einsatz von HTTPS spricht. Denn von diesem Vertrauen pro­fi­tiert auch der Betreiber, führt es doch zu einer ge­rin­ge­ren Ab­sprungra­te der Sei­ten­be­su­cher.

Laut Chromium-Blog nutzen bereits 81 der Top-100-Webseiten SSL bzw. TLS zur Ver­schlüs­se­lung ihrer Webseiten, 68 Prozent des Chrome-Traffics über Android und Windows und knapp 78 Prozent über Chrome-OS und Mac sind zudem HTTPS-geschützt. Wer also bis jetzt noch nicht mit­ge­zo­gen ist, der gehört ganz of­fen­sicht­lich zu einer Min­der­heit. Doch das lässt sich schnell ändern, ist die Ein­rich­tung des Si­cher­heits­pro­to­kolls laut Google doch einfacher als je zuvor: Web-Developer-Tools wie Light­house helfen dabei, den Umstieg zu er­leich­tern – ins­be­son­de­re beim Umgang mit Mixed Content. Also: Keine Ausreden mehr und zu einer si­che­re­ren Da­ten­über­tra­gung wechseln.

Google Chrome vertraut also ab sofort nur noch HTTPS-Ver­bin­dun­gen. Aber es gibt Ausnahmen, vor denen trotz HTTPS gewarnt wird: Und zwar solche Webseiten, die veraltete Zer­ti­fi­ka­te der Firma Symantec nutzen. Grund dafür ist ein lang­jäh­ri­ger Streit zwischen dem IT-Konzern und der Zer­ti­fi­zie­rungs­stel­le: Laut Google hatte Symantec wie­der­holt in­kor­rek­te Zer­ti­fi­ka­te auf Tausende von Domains aus­ge­stellt und sich damit mehrfach als un­zu­ver­läs­sig erwiesen.

Google reagierte darauf mit einem schritt­wei­sen Ver­trau­ens­ent­zug, der mit Chrome 66 die letzte Phase ein­läu­te­te: Seit dem 17. April 2018 werden einige Webseiten, die über TLS-Zer­ti­fi­ka­te von Symantec verfügen, welche vor dem 01.06.2016 aus­ge­stellt wurden, mit einem Warn-Hinweis ge­kenn­zeich­net und außerdem mit der der Meldung versehen, dass auf dieser Website Daten mög­li­cher­wei­se von Dritten ab­ge­fan­gen werden könnten. Chrome 68 bietet nun einen deut­li­che­ren „Nicht sicher“-Hinweis. Mit dem Update auf Chrome 70, das für den 23. Oktober 2018 geplant ist, soll diese Warnung für Symantec-Zer­ti­fi­ka­te, die zwischen dem 01.06.2016 und 01.12.2017 aus­ge­stell­ten wurden, noch auf­fäl­li­ger werden: Dann wird der „Nicht sicher“-Hinweis nämlich in Rot dar­ge­stellt und her­vor­ge­ho­ben, sobald der Nutzer seine Daten auf einer un­si­che­ren Webseite eingeben will.

Wie viele Domains von dieser Ver­än­de­rung betroffen sein werden, hat ein Si­cher­heits­tech­ni­ker von Airbnb auf eigene In­itia­ti­ve her­aus­ge­fun­den: 11.510 sind es an der Zahl, also knapp 10 Prozent der laut Alexa-Ranking am meisten besuchten Webseiten. Dazu zählen bei­spiels­wei­se das Bun­des­fi­nanz­mi­nis­te­ri­um, Spiegel Online, Tesla, wetter.de und die Uni­ver­si­tät Hil­des­heim. Grund für diese hohe Zahl ist, dass Chrome 70 nicht nur Zer­ti­fi­ka­ten misstraut, die direkt von Symantec aus­ge­stellt wurden – auch solche Zer­ti­fi­ka­te, deren Ver­trau­ens­ket­te auf den Zer­ti­fi­zie­rer zu­rück­geht (darunter GeoTrust, RapidSSL und Thawte), landen auf der schwarzen Liste. Für Nutzer von Symantec Zer­ti­fi­ka­ten empfiehlt sich, das Aus­stel­lungs­da­tum ihrer Zer­ti­fi­ka­te zu über­prü­fen und diese ge­ge­be­nen­falls kos­ten­frei zu ersetzen.