Kein HTTPS: Chrome 68 kennzeichnet unsichere Webseiten

Nur kurze Zeit nach dem Release von Chrome 67 am 29. Mai 2018 folgte bereits das nächste Update für den beliebten Browser von Google: Laut dem hauseigenem Chromium-Blog gilt Chrome 68 ab Anfang Juli 2018 als stabil und ersetzt somit die vorangegangene Beta-Version.

Zu den einzelnen, teils vernachlässigbaren Modifikationen findet man hier eine Übersicht. Insgesamt folgt die Aktualisierung ganz klar dem Leitsatz der Internetsicherheit. Denn Chrome ist nun offiziell der erste Webbrowser, der Webseiten ohne HTTPS explizit als unsicher kennzeichnet. Die Chrome Version 70, die im Oktober 2018 folgen soll, verschärft das Sicherheitsupdate nochmals.Vorherige Versionen und auch der Konkurrent Mozilla Firefox hatten bislang nur in Login-Formularen oder bei der Eingabe von Bankdaten darauf hingewiesen, wenn die besuchte Seite über kein SSL-Zertifikat verfügt. Wir erklären, was sich im Detail geändert hat und wie Sie als Webseitenbetreiber am besten darauf reagieren.

Schon seit längerer Zeit präsentiert sich Google als Advokat in Sachen Internetsicherheit. Die im Januar 2017 veröffentlichte Chrome-Version 56 warnte bereits vor Webseiten, die sensible Daten wie Passwörter, Bankdaten und E-Mail-Adressen über eine unverschlüsselte Verbindung verarbeiteten. Auch die DSGVO nahm der Konzern sogleich zum Anlass, um Werbung in eigener Sache zu betreiben und die Wichtigkeit von Datenschutz hervorzuheben. In diesem Kontext sollen nun auch Chrome 68 und Chrome 70 dabei helfen, die Nutzer für das Thema zu sensibilisieren und sie vor Cyberkriminalität zu schützen.

Wahrscheinlich verfolgt Google damit auch eigene Interessen: Dem Konzern liegt viel daran, dass Nutzer keinesfalls das Vertrauen ins World Wide Web verlieren. Damit das Wachstum des Unternehmens nicht einbricht, müssen Internutzer mehr und mehr Zeit online verbringen. Negative Schlagzeilen aufgrund von Internetkriminalität schaden somit auch Google. Eine großangelegte Kampagne gegen unsichere SSL-Zertifikate der Firma Symantec hat bereits gezeigt, wie ernst es Google mit dieser Sache ist. Und dieses Vorgehen Googles für mehr Datensicherheit wirkt sich letztlich auch positiv auf das Image des Unternehmens auf, das aufgrund des Sammelns personenbezogener Daten selbst immer wieder in Kritik geraten ist.

Es sollte bereits weithin bekannt sein, dass im Google-Ranking Webseiten mit HTTPS gegenüber solchen ohne SSL-Zertifikat bevorzugt werden. Eine gut sichtbare Kennzeichnung als „Nicht sicher“ könnte sich aber noch unmittelbarer auf die Besucherzahlen einer Onlinepräsenz auswirken. So fand die Zertifizierungsstelle Globalsign 2014 durch eine Umfrage heraus, dass sich 85 Prozent der befragten Onlineshopper von unverschlüsselten Webseiten abgeschreckt fühlen.

Angesichts der Pionierrolle von Google in der Internetbranche ist es naheliegend, dass andere Browser-Anbieter dem Vorbild folgen und Webseitenbetreiber ohne gültiges SSL-Zertifikat künftig ebenfalls anprangern werden. Denkbar wäre sogar, dass HTTP-Seiten langfristig ganz aus dem Index der weltweit meistgenutzten Suchmaschine verbannt werden – konkrete Pläne hierzu sind aber noch nicht bekannt.

Im Mai 2018 verkündete Google, dass die bisherige Auszeichnung von sicheren HTTPS-verschlüsselten Webseiten mit einem grünen Vorhängeschloss künftig wegfallen soll. Google ist der Meinung, dass das Netz "safe by default" sei und damit kein weiterer Hinweis benötigt wird. Internet-Nutzer würden inzwischen erwarten, dass das Web "standardmäßig sicher" ist. Für unverschlüsselte Seite wird allerdings weiterhin der „Nicht sicher“-Hinweis ausgespielt. Sie fallen damit besonders auf und der Hinweis soll Besucher so noch deutlicher warnen. Wie auf dem offizielle Google Chromium Blog zu lesen ist, soll der „Sicher“-Hinweis ab September 2018 mit Chrome 69 verschwinden.

Spätestens mit dem Update auf Chrome 68 sollten Webseitenbetreiber ernsthaft darüber nachdenken, auf HTTPS umzusteigen. Das Protokoll für die sichere Datenübertragung soll verhindern, dass unbefugte Dritte die Kommunikation zwischen einer Webseite und ihren Besuchern manipulieren oder abhören können. Unabhängig davon, ob SSL (Secure Sockets Layer) oder die modernere TLS-Technik (Transport Layer Security) zum Einsatz kommt, hat eine solche Zertifizierung durch einen renommierten Anbieter klare Vorteile. Neben Rankingvorteilen bei Google und einer beschleunigten Performance dank HTTP/2 ist insbesondere auch das erhöhte Vertrauen der User ein wesentlicher Pluspunkt, der für den Einsatz von HTTPS spricht. Denn von diesem Vertrauen profitiert auch der Betreiber, führt es doch zu einer geringeren Absprungrate der Seitenbesucher.

Laut Chromium-Blog nutzen bereits 81 der Top-100-Webseiten SSL bzw. TLS zur Verschlüsselung ihrer Webseiten, 68 Prozent des Chrome-Traffics über Android und Windows und knapp 78 Prozent über Chrome-OS und Mac sind zudem HTTPS-geschützt. Wer also bis jetzt noch nicht mitgezogen ist, der gehört ganz offensichtlich zu einer Minderheit. Doch das lässt sich schnell ändern, ist die Einrichtung des Sicherheitsprotokolls laut Google doch einfacher als je zuvor: Web-Developer-Tools wie Lighthouse helfen dabei, den Umstieg zu erleichtern – insbesondere beim Umgang mit Mixed Content. Also: Keine Ausreden mehr und zu einer sichereren Datenübertragung wechseln.

Google Chrome vertraut also ab sofort nur noch HTTPS-Verbindungen. Aber es gibt Ausnahmen, vor denen trotz HTTPS gewarnt wird: Und zwar solche Webseiten, die veraltete Zertifikate der Firma Symantec nutzen. Grund dafür ist ein langjähriger Streit zwischen dem IT-Konzern und der Zertifizierungsstelle: Laut Google hatte Symantec wiederholt inkorrekte Zertifikate auf Tausende von Domains ausgestellt und sich damit mehrfach als unzuverlässig erwiesen.

Google reagierte darauf mit einem schrittweisen Vertrauensentzug, der mit Chrome 66 die letzte Phase einläutete: Seit dem 17. April 2018 werden einige Webseiten, die über TLS-Zertifikate von Symantec verfügen, welche vor dem 01.06.2016 ausgestellt wurden, mit einem Warn-Hinweis gekennzeichnet und außerdem mit der der Meldung versehen, dass auf dieser Website Daten möglicherweise von Dritten abgefangen werden könnten. Chrome 68 bietet nun einen deutlicheren „Nicht sicher“-Hinweis. Mit dem Update auf Chrome 70, das für den 23. Oktober 2018 geplant ist, soll diese Warnung für Symantec-Zertifikate, die zwischen dem 01.06.2016 und 01.12.2017 ausgestellten wurden, noch auffälliger werden: Dann wird der „Nicht sicher“-Hinweis nämlich in Rot dargestellt und hervorgehoben, sobald der Nutzer seine Daten auf einer unsicheren Webseite eingeben will.

Wie viele Domains von dieser Veränderung betroffen sein werden, hat ein Sicherheitstechniker von Airbnb auf eigene Initiative herausgefunden: 11.510 sind es an der Zahl, also knapp 10 Prozent der laut Alexa-Ranking am meisten besuchten Webseiten. Dazu zählen beispielsweise das Bundesfinanzministerium, Spiegel Online, Tesla, wetter.de und die Universität Hildesheim. Grund für diese hohe Zahl ist, dass Chrome 70 nicht nur Zertifikaten misstraut, die direkt von Symantec ausgestellt wurden – auch solche Zertifikate, deren Vertrauenskette auf den Zertifizierer zurückgeht (darunter GeoTrust, RapidSSL und Thawte), landen auf der schwarzen Liste. Für Nutzer von Symantec Zertifikaten empfiehlt sich, das Ausstellungsdatum ihrer Zertifikate zu überprüfen und diese gegebenenfalls kostenfrei zu ersetzen.