Google macht Schluss mit unsicheren HTTP-Verbindungen in Chrome
Ab Oktober 2026 warnt Chrome vor jedem Aufruf unverschlüsselter Websites. Google aktiviert die Sicherheitsfunktion standardmäßig für alle Nutzer.
(Bild: heise medien)
Google aktiviert mit Chrome 154 im Oktober 2026 standardmäßig die Funktion "Always Use Secure Connections" für alle Nutzer. Entsprechend muss der Browser künftig bei jedem ersten Zugriff auf eine öffentliche Website ohne HTTPS-Verschlüsselung um Erlaubnis fragen. Die Warnmeldung lässt sich zwar umgehen, soll aber Anwender vor Man-in-the-Middle-Angriffen schützen.
Funktion schon lange enthalten
Die Sicherheitsfunktion existiert bereits länger als optionale Einstellung. Chrome versucht dabei zunächst automatisch, jede Verbindung über HTTPS aufzubauen. Schlägt dies fehl, erscheint eine Warnung. Google begründet den Schritt damit, dass bereits eine einzige unverschlüsselte HTTP-Verbindung ausreiche, um Angreifern einen Einstiegspunkt zu bieten. Diese könnten die Navigation kapern und Nutzer auf manipulierte Seiten umleiten, um Malware zu verteilen oder gezielte Exploits auszuführen.
Laut Googles Security-Blog nutzen aktuell zwischen 95 und 99 Prozent aller Chrome-Seitenaufrufe bereits HTTPS. Allerdings stagniere diese Quote seit etwa 2020, nachdem sie zwischen 2015 und 2020 – beginnend bei 30 bis 45 Prozent – kontinuierlich gestiegen war. Die wenigen verbleibenden HTTP-Verbindungen stellten dennoch ein erhebliches Sicherheitsrisiko dar, da viele Nutzer regelmäßig unverschlüsselte Seiten aufrufen würden.
Besonders problematisch seien HTTP-Verbindungen, die für Nutzer unsichtbar bleiben, weil Websites sofort auf HTTPS weiterleiten. In diesen Fällen könnten Nutzer die "Nicht sicher"-Warnung in der Adressleiste erst sehen, nachdem das Risiko bereits bestanden habe.
Videos by heise
Unterschiedliche Behandlung öffentlicher und privater Sites
Chrome unterscheidet künftig zwischen öffentlichen Websites wie example.com und privaten Adressen wie lokalen IP-Adressen (192.168.0.1), Single-Label-Hostnamen oder Intranet-Shortcuts. Die neue Standardeinstellung warnt ausschließlich bei öffentlichen Sites ohne HTTPS. Für private Adressen bleibt HTTP weiterhin ohne Warnung nutzbar.
Diese Differenzierung hat technische Gründe: Während HTTPS-Zertifikate für öffentliche Domains kostenlos und einfach verfügbar sind, gestaltet sich die Beschaffung für private Netzwerke deutlich komplizierter. Private Namen sind nicht eindeutig – verschiedene Netzwerke nutzen identische Adressen wie 192.168.0.1, sodass keine zentrale Zertifizierungsstelle einen eindeutigen Eigentümer verifizieren kann.
Zudem stuft Google HTTP-Verbindungen zu privaten Seiten als weniger gefährlich ein, da Angreifer physischen oder virtuellen Zugang zum lokalen Netzwerk benötigen würden. Bei öffentlichen Websites könnten dagegen Attacken bereits über kompromittierte WLAN-Hotspots oder manipulierte Netzwerkinfrastruktur erfolgen.
Nutzerfreundlichkeit durch intelligente Warnschwelle
Um übermäßige Störungen zu vermeiden, speichert Chrome Nutzerentscheidungen für regelmäßig besuchte HTTP-Sites. Wer eine bestimmte unverschlüsselte Website häufig aufruft, wird nicht bei jedem Besuch erneut gewarnt – die Warnung erscheint nur bei erstmaligen oder längere Zeit nicht besuchten HTTP-Seiten. Diese Strategie soll laut Google verhindern, dass Nutzer bei häufigen Besuchen derselben Seiten "warnmüde" werden.
Die HTTPS-Nutzung variiert stark zwischen den Plattformen. Schließt man private Sites aus der Betrachtung aus, steigt die HTTPS-Quote auf Linux von 84 auf 97 Prozent, auf Windows von 95 auf 98 Prozent. Android und macOS erreichen sogar über 99 Prozent. Diese Zahlen zeigen laut Google, dass HTTPS mittlerweile ausgereift und weitverbreitet genug sei, um stärkere Schutzmaßnahmen gegen verbleibendes HTTP zu rechtfertigen.
Website-Betreiber ohne HTTPS-Verschlüsselung haben noch ein Jahr Zeit, um ihre Infrastruktur anzupassen. Kostenlose Zertifikate sind über Dienste wie Let's Encrypt verfügbar.
(fo)
