Transportverschlüsselung: Chrome 68 mag HTTP überhaupt nicht mehr

Wer seine Seite immer noch unverschlüsselt im Web anbietet, sollte dies schleunigst ändern: Demnächst markiert der Browser Chrome derartige Seiten als unsicher.

In Pocket speichern vorlesen Druckansicht 898 Kommentare lesen
Transportverschlüsselung: Chrome 68 mag HTTP überhaupt nicht mehr
Lesezeit: 2 Min.

Am 23. Juli will Google mit der Version 68 des Webbrowsers Chrome einen weiteren Schritt hin zum verschlüsselten Internet machen: Ab diesem Datum kennzeichnet der Browser unverschlüsselte Seiten ohne TLS-Zertifikat als nicht sicher. Diese Warnung soll bei allen HTTP-Webseiten in der Adressleiste auftauchen.

Darauf wiesen Chrome-Entwickler bereits im Februar hin – nun ist der Termin in greifbarer Nähe. Damit will Google Web-Admins unter Druck setzen, Webseiten auf HTTPS umzustellen. Mit einem Anteil von 60 Prozent ist Chrome eine Instanz im Webbrowser-Markt.

Im Gegenzug will Google mit Chrome 70 HTTPS-Seiten nicht mehr mit einem grünen Schloss kennzeichnen. Googles Prämisse dabei lautet: Internet-Nutzer sollten erwarten, dass das Web "standardmäßig sicher" ist. Doch bis dahin ist es noch ein weiter Weg.

Dem Aussteller von TLS-Zertifikaten DigiCert zufolge setzen rund 43 Prozent der vom Internetdienst Alexa gelisteten Top-Webseiten auf HTTPS. Eine aktuelle Analyse von W3Techs ergibt, 36 Prozent aller Webseiten sind verschlüsselt. Statistiken von Firefox zeigen, dass der Browser weltweit rund 71 Prozent aller aufgerufenen Webseiten via HTTPS lädt.

Gegen eine Umstellung spricht eigentlich nichts mehr: Beispielsweise mit der beliebten Zertifizierungsstelle Let’s Encrypt kostet der Prozess nichts und er ist mit wenigen Klicks erledigt.

Wer sich ein TLS-Zertifikat ausstellen lässt, sollte darauf achten, dass die aktuelle Version TLS 1.2 zum Einsatz kommt. Ältere Versionen gelten als unsicher und die Internet Engineering Task Force (IETF) will sie sogar verbieten. TLS 1.3 ist indes auf der Zielgerade zum Standard.

Das grüne Schloss in der Adressleiste bedeutet aber keine allumfassende Sicherheit beim Surfen. HTTPS sorgt "nur" dafür, dass die Übertragung von Nutzerdaten an eine Webseite verschlüsselt stattfindet. Viele Phishing-Webseiten missbrauchen HTTPS, um Vertrauen zu suggerieren und Opfer in falscher Sicherheit zu wiegen. (des)