Google plant deut­li­che­re Kenn­zeich­nung un­si­che­rer Websites in Chrome

In einem Beitrag im Security Blog hat Google seine Pläne prä­sen­tiert, unsichere HTTP-Seiten künftig in seinem Browser Chrome explizit als solche zu kenn­zeich­nen. Zu diesem Zweck wird die für Januar 2017 geplante Version 56 eine Über­ar­bei­tung der Adress­leis­te erfahren. Der URL un­ver­schlüs­sel­ter Websites soll der Warn­hin­weis „Not secure“ („nicht sicher“) vor­an­ge­stellt werden. Zunächst werden aller Vor­aus­sicht nach aus­schließ­lich Seiten betroffen sein, die Kre­dit­kar­ten­da­ten und Pass­wör­ter über das un­ver­schlüs­sel­te Protokoll über­tra­gen wollen. Wie sehen die lang­fris­ti­gen Schritte aus und welche Kon­se­quen­zen hat das Update für Website-Betreiber und Benutzer?

Wenn Chrome 56 wie geplant zu Beginn nächsten Jahres erscheint, werden an­fäng­lich nur die Web­adres­sen solcher Projekte mit dem „Not secure“-Label versehen, die Kre­dit­kar­ten­in­for­ma­tio­nen und Pass­wör­ter über das un­ver­schlüs­sel­te Hyp­ter­text Transfer Protocol (HTTP) über­tra­gen. Bisher weist der Browser des Such­ma­schi­nen­rie­sens auf solche und alle anderen Web­an­ge­bo­te, die Daten ohne TLS-/SSL-Zer­ti­fi­kat über­tra­gen, nicht explizit hin. Ihnen fehlt schlicht­weg eine Kenn­zeich­nung wie das grüne Schloss­sym­bol, das das Adress­fens­ter ver­schlüs­sel­ter Seiten ziert. Dieser neutrale Indikator für die Si­cher­heit von Web­pro­jek­ten wird von einem Großteil der Nutzer gar nicht wahr­ge­nom­men, wie eine von Google und der Uni­ver­si­ty of Ca­li­for­nia durch­ge­führ­te Studie unter Beweis gestellt hat.

In den nach­fol­gen­den Chrome-Versionen sollen die Warn­hin­wei­se an­schlie­ßend kon­ti­nu­ier­lich aus­ge­wei­tet werden. So ist ein möglicher zweiter Schritt, den „Not secure“-Hinweis im Inkognito-Modus, den vor allem User mit hohen Er­war­tun­gen an die Si­cher­heit verwenden, für alle HTTP-Pages ein­zu­blen­den. Auch über eine generelle Kenn­zeich­nung aller un­ver­schlüs­sel­ten Seiten im Stan­dard­mo­dus denkt Google laut der Aussagen im Blog­bei­trag nach. Mög­li­cher­wei­se erhalten die ent­spre­chen­den URLs in der Adress­zei­le dann zu­sätz­lich das rote Warn­drei­eck, das bisher noch bei feh­ler­haft kon­fi­gu­rier­ten HTTPS -Websites zum Einsatz kommt.

Bereits im August 2014 ver­kün­de­te Google, dass die Ver­schlüs­se­lung der Da­ten­über­tra­gung per SSL bzw. TLS im Rahmen der all­ge­mei­nen Si­cher­heit des World Wide Webs fortan auch in die Bewertung ein­flie­ßen würde. Auf diese Weise sollten Website-Betreiber dazu motiviert werden, die Zer­ti­fi­zie­rung des eigenen Projekts in Angriff zu nehmen. In Kom­bi­na­ti­on mit der Tatsache, dass der Umstieg auf HTTPS seitdem immer kos­ten­güns­ti­ger und einfacher geworden ist, ist die Zahl ver­schlüs­sel­ter Web­an­ge­bo­te in diesen zwei Jahren deutlich gestiegen. Mit der neu­er­li­chen Offensive will Google nun die ent­schei­den­de Phase einleiten, der sich am­bi­tio­nier­te Website-Betreiber nur schwer werden entziehen können. Rund zwei Drittel der welt­wei­ten Nutzer greifen laut den Sta­tis­ti­ken von w3schools via Chrome auf das Web zu – Tendenz steigend.

Wenn User mithilfe Ihres Browsers auf eine Seite zugreifen, tun sie heut­zu­ta­ge in der Regel mehr, als einfach nur einen Artikel an­zu­kli­cken. Der oft genannte digitale Fin­ger­ab­druck ist nicht nur das Ergebnis der Aus­spio­nie­rung durch un­er­kann­te Cookies und Tracking-Tools. Immer häufiger hin­ter­lässt man eigene In­for­ma­tio­nen auch ganz bewusst, etwa in Beiträgen auf sozialen Netz­wer­ken und Foren oder wenn die Nutzung eines Web­an­ge­bots an die Anmeldung zu einem News­let­ter bzw. an einen per­sön­li­chen User-Account gebunden ist. In vielen Fällen ist die Angabe der E-Mail-Adresse gefordert, manchmal gibt man aber sogar weitaus sen­si­ble­re In­for­ma­tio­nen preis.

Stan­dard­mä­ßig werden diese Daten wie Pass­wör­ter, Be­nut­zer­da­ten, Adress- oder Bank­kon­to­an­ga­ben vom Browser über das Hypertext-Über­tra­gungs­pro­to­koll an die Datenbank der je­wei­li­gen Website über­tra­gen. Seit den Anfängen des Webs leistet dieses Protokoll her­vor­ra­gen­de Dienste, es lässt al­ler­dings eine Ver­schlüs­se­lung der trans­por­tier­ten In­for­ma­tio­nen vermissen. Daher liegen alle Da­ten­pa­ke­te, die über eine HTTP-Ver­bin­dung über­tra­gen und auf dem Weg zwischen Browser und Webserver ab­ge­fan­gen werden, im Klartext vor. So können Cy­ber­kri­mi­nel­le pro­blem­los an die Log-in-Daten für Ihren E-Mail-Account, Ihr On­line­ban­king-Konto oder Ihre Wohn­adres­se gelangen. Durch den Einsatz eines SSL-/TLS-Zer­ti­fi­kats stellen Website-Betreiber sicher, dass alle kom­mu­ni­zier­ten Daten ver­schlüs­selt über­tra­gen und so vor Dritten geschützt werden.

Da der Großteil der In­ter­net­ge­mein­de die Bedeutung von SSL-/TLS-Zer­ti­fi­zie­rung für Web­pro­jek­te noch nicht erkannt zu haben scheint, geht Google mit Chrome 56 in die nächste Auf­klä­rungs­run­de. Das rundum erneuerte Warn­sys­tem soll mehr User für die wichtige ver­schlüs­sel­te Da­ten­über­tra­gung sen­si­bi­li­sie­ren und bisher inaktive Website-Betreiber zum Handeln zwingen. Die geplanten Än­de­run­gen legen die Vermutung nahe, dass dieses Vorhaben gelingen wird und Chrome-Nutzer die als unsicher mar­kier­ten Seiten künftig vermehrt meiden.

Zu­sätz­lich könnte sich Google dazu ent­schei­den, den Ran­king­fak­tor HTTPS noch pro­mi­nen­ter in die Bewertung ein­flie­ßen zu lassen. Während Chrome-Nutzer ein neues Si­cher­heits­fea­ture erhalten, wird Website-Besitzern also die Ent­schei­dung, ob sie SSL/TLS benötigen oder nicht, quasi ab­ge­nom­men. Der Umstieg auf den ver­schlüs­sel­ten Da­ten­trans­fer zählt nicht erst mit Chrome 56 für jeden am­bi­tio­nier­ten Ver­ant­wort­li­chen, der auf der Suche nach neuen Nutzern für sein Web­pro­jekt ist, zum Pflicht­pro­gramm. Dabei gilt wie so oft das Motto: Je früher, desto besser.