Chrome warnt vor unverschlüsselten Verbindungen

chrome speed geschwindigkeit mbps

Wer Websites umverschlüsselt anbietet, sollte sich seine Strategie noch einmal überlegen, denn ab Januar 2017 warnt Chrome vor unverschlüsselten Verbindungen. Erstmal nur, wenn Passwörter oder Kreditkartendaten abgefragt werden, doch die Pläne von Google sind weitreichender.

Google kämpft für Verschlüsselung und gegen HTTP. Mit dem Browser Chrome hat das Unternehmen ein Druckmittel gegen Webseitenbetreiber in der Hand. Ab Januar 2017 warnt ein graues Icon vor Websites, die Kreditkartendaten und Passwörter umverschlüsselt übertragen wollen.

Die Änderung ist für den Start von Chrome 56 vorgesehen – die aktuelle Version heißt Chrome 53. Das rote Warndreieck mit einem weißen Ausrufezeichen darin bleibt vorerst für inkorrekte HTTPS-Verbindungen (also solche mit gescheiterter Verschlüsselung) reserviert.

Langfristig will Google diese Maßnahmen aber noch verschärfen. Dann soll zunächst im Inkognito-Modus mit rotem Dreieck vor HTTP-Verbindungen gewarnt werden. Und die letzte Eskalationsstufe ist erreicht, wenn Chrome standardmäßig vor jeglicher HTTP-Verbindung warnt.
chrome-http-warnung
„Chrome weist HTTP-Verbindungen bisher mit einem neutralen Indikator aus“, erklärt Emily Schechter vom Chrome Security Team in einem Blogbeitrag. „Das entspricht dem tatsächlichen Mangel an Sicherheit von HTTP-Verbindungen nicht. Wenn Sie eine Website über HTTP laden, können andere im gleichen Netzwerk zusehen oder die Site modifizieren, bevor sie bei Ihnen eintrifft.“

Googles vorsichtige Kampagne gegen HTTP läuft seit 2014. Auch Schechter weist darauf hin, dass Warnsignale ihren Wert verlieren, falls sie zu oft erscheinen.

Die Warndreiecke lassen sich aber schon heute zum Standard machen: Unter chrome://flags findet sich ein Eintrag für „Nicht sicheren Ursprung als nicht sicher markieren“. Dies bezieht sich auf HTTP-Seiten. Sie können entweder „neutral“ erscheinen, was der Standardeinstellung ist, oder „als nicht sicher markiert“ werden. Googles Wortwahl mit der Wiederholung des Ausdrucks „nicht sicher“ lässt keinen Zweifel zu, welche Option es selbst vorziehen würde.

Google selbst verschlüsselt Verbindungen mit Gmail und mit seiner Suche seit 2010. Schon damals argumentierte sein Sicherheitsexperte Adam Langley, SSL/TLS-Verschlüsselung brauche nicht mehr viel Rechenkraft. Seit den NSA-Enthüllungen durch Edward Snowden hat es seine Bemühungen aber noch erheblich verstärkt. Dies spiegelt sich auch in einem höheren Page Rank für verschlüsselte Angebote wider.

Vergangenen Monat hat Google für seine Domain google.com den Sicherheitsmechanismus HTTP Strict Transport Security (HSTS) implementiert. Das bedeutet, dass ein unverschlüsselter Zugriff auf diese zentrale Google-Domain nicht mehr möglich ist.

Tags :Quellen:ZDNet.comVia:Mit Material von Florian Kalenda, ZDNet.de

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Advertising