SSL wird Pflicht: Chrome-Browser warnt vor unverschlüsselten Verbindungen

Mit dem Update auf Chrome 68 warnt der beliebteste Browser seine Nutzer vor unverschlüsselten Webseiten. Betroffene Webmaster sollte das zum Handeln zwingen.

In Pocket speichern vorlesen Druckansicht 467 Kommentare lesen
SSL wird Pflicht: Chrome warnt vor unverschlüsselten Verbindungen
Lesezeit: 4 Min.
Von
  • Fabian A. Scherschel

Google verteilt in diesen Tagen Chrome 68, die neueste Version seines Web-Browsers. Dieser enthält einige Neuerungen – am schwersten wiegt aber wohl eine essenzielle Änderung im Umgang mit HTTP: Ab Version 68 warnt Chrome vor unverschlüsselten Verbindungen zu Webseiten. Das bedeutet für Admins, die ihre Webseiten nicht mit einem SSL-Zertifikat versehen haben, unter Umständen viele Support-Anfragen von verunsicherten Besuchern, die ihre Seite mit dem beliebtesten aller Browser aufgesucht haben.

Weniger versierte Web-Nutzer haben die Unterschiede zwischen HTTP und HTTPS in der Adresszeile schließlich bisher eher nicht beachtet und verstehen auch nicht unbedingt, was ein SSL-Zertifikat ist oder wie Transportverschlüsselungen die Verbindungen im Netz sicherer macht. Aber gerade diese Art von Besuchern verwendet zum größten Teil Chrome. Sie werden nun deutlich vor "unsicheren Webseiten" gewarnt.

Chrome markiert HTTP-Verbindungen als "nicht sicher".

Die Umstellung ist Teil einer Strategie der Google-Entwickler, mit der sie Web-Admins dazu zwingen wollen, ihre Webseiten per SSL/TLS zu verschlüsseln. Das Ziel ist löblich, denn spätestens seit Edward Snowden vor fünf Jahren mit seinen NSA-Enthüllungen an die Öffentlichkeit ging, wissen wir, dass Geheimdienste unverschlüsselten Web-Traffic im großen Stil speichern und analysieren. Big-Data-Techniken erlauben es so, sehr viel über die Gewohnheiten fast jeden Web-Nutzers zu erfahren. Würden wir alle Verbindungen im Netz standardmäßig transportverschlüsseln, könnte man deren Inhalt zwar noch auf den entsprechenden Servern abgreifen. Der massenhaften Analyse dieser Daten an Internetknotenpunkten wäre aber immerhin ein Riegel vorgeschoben.

Aus genau diesem Grund sind mittlerweile so ziemlich alle großen und mittelgroßen Webseiten nur noch über HTTPS zu erreichen. Mozillas Browser Firefox lädt knapp 71 Prozent aller Webseiten weltweit mittlerweile verschlüsselt. HTTPS sei "billiger und einfacher zu nutzen als je zuvor", so die Sicherheitschefin des Chrome-Browsers kürzlich in einem Blog-Beitrag. Vor allem die kostenlose Zertifizierungsstelle Let's Encrypt, an der Google und Mozilla beteiligt sind, hat dafür gesorgt, dass HTTPS für Admins einfacher und billiger umzusetzen ist als je zuvor. Google übt mit seiner Umstellung nun also Druck auf den Rest der Seitenbetreiber aus, die noch über HTTP erreichbar sind. Google ist damit nicht allein: Mozilla geht mit Firefox ähnliche Wege.

Betroffen sind vor allem Admins und Webmaster kleinerer Webseiten. Zwar ist die Umstellung auf verschlüsselte Verbindungen, vor allem mit Let's Encrypt, theoretisch mit relativ wenig Aufwand verbunden, in der wirklichen Welt ergeben sich allerdings immer wieder Fallstricke. Schon die Umstellung eines kleineren, selbst-gehosteten WordPress-Blogs kann schon mal ein ganzes Wochenende in Anspruch nehmen. Denn trotz der automatischen Konfigurationsmöglichkeiten finden sich immer wieder Links auf vergessene URLs, die umgestellt werden müssen, oder Plug-Ins, bei denen die Umstellung auf HTTPS unvorhergesehene Probleme hervorruft. Auch die Verlängerung eines Zertifikates kann ungeahnte Schwierigkeiten mit sich bringen.

Es ist also nicht verwunderlich, dass vor allem die Admins kleinerer Webseiten die Mühe einer Umstellung bisher gescheut haben. Die Änderung bei Chrome 68 könnte den Leidensdruck nun allerdings so erhöhen, dass viele von ihnen in den sauren Apfel beißen und den Support-Aufwand eines Let's-Encrypt-Zertifikates dem Support-Aufwand durch verunsicherte Seitenbesucher vorziehen. Im Gegenzug will Google dann in Zukunft den HTTPS-Webseiten auch das grüne Vorhängeschloss in der Adressleiste wegnehmen. Wenn alle Webseiten mit SSL verschlüsseln sei das schließlich der neue Standard und müsse nicht mehr als besonders sicher hervorgehoben werden, meint Google. Chrome geht somit weg vom Lob für Verschlüsselung und hin zur Warnung, wenn nicht verschlüsselt wird. (fab)