Google Chrome vertraut also ab sofort nur noch HTTPS-Verbindungen. Aber es gibt Ausnahmen, vor denen trotz HTTPS gewarnt wird: Und zwar solche Webseiten, die veralteteZertifikate der Firma Symantec nutzen. Grund dafür ist ein langjähriger Streit zwischen dem IT-Konzern und der Zertifizierungsstelle: Laut Google hatte Symantec wiederholt inkorrekte Zertifikate auf Tausende von Domains ausgestellt und sich damit mehrfach als unzuverlässig erwiesen.
Google reagierte darauf mit einem schrittweisen Vertrauensentzug, der mit Chrome 66 die letzte Phase einläutete: Seit dem 17. April 2018 werden einige Webseiten, die über TLS-Zertifikate von Symantec verfügen, welchevor dem 01.06.2016 ausgestellt wurden, mit einem Warn-Hinweis gekennzeichnet und außerdem mit der der Meldung versehen, dass auf dieser Website Daten möglicherweise von Dritten abgefangen werden könnten. Chrome 68 bietet nun einen deutlicheren „Nicht sicher“-Hinweis. Mit dem Update auf Chrome 70, das für den 23. Oktober 2018 geplant ist, soll diese Warnung für Symantec-Zertifikate, die zwischen dem 01.06.2016 und 01.12.2017 ausgestellten wurden, noch auffälliger werden: Dann wird der „Nicht sicher“-Hinweis nämlich in Rot dargestellt und hervorgehoben, sobald der Nutzer seine Daten auf einer unsicheren Webseite eingeben will.
Wie viele Domains von dieser Veränderung betroffen sein werden, hat ein Sicherheitstechniker von Airbnb auf eigene Initiative herausgefunden: 11.510 sind es an der Zahl, also knapp 10 Prozent der laut Alexa-Ranking am meisten besuchten Webseiten. Dazu zählen beispielsweise das Bundesfinanzministerium, Spiegel Online, Tesla, wetter.de und die Universität Hildesheim. Grund für diese hohe Zahl ist, dass Chrome 70 nicht nur Zertifikaten misstraut, die direkt von Symantec ausgestellt wurden – auch solche Zertifikate, deren Vertrauenskette auf den Zertifizierer zurückgeht (darunter GeoTrust, RapidSSL und Thawte), landen auf der schwarzen Liste. Für Nutzer von Symantec Zertifikaten empfiehlt sich, das Ausstellungsdatum ihrer Zertifikate zu überprüfen und diese gegebenenfalls kostenfrei zu ersetzen.