Google gibt im World Wide Web den Ton an \u2013 und das ist auch beim Thema Verschl\u00fcsselung sp\u00fcrbar. Der Internetriese forciert seit einigen Jahren die HTTPS-Verschl\u00fcsselung und wird nun weitere Schritte mit dem hauseigenen Browser Chrome unternehmen, um das Web sicherer zu gestalten.<\/p>\n
Unter diesem Titel \u2013 \u201eDas sichere Web ist gekommen, um zu bleiben\u201c \u2013 verfasste Google in seinem Blog<\/a> eine Erkl\u00e4rung dar\u00fcber, wie sicher das Web geworden ist und was der Internetgigant k\u00fcnftig mit Chrome plant. Seit einigen Jahren schon ist Google mit seinem Browser Chrome Marktf\u00fchrer und ist damit in der Position, die Internet-Welt mitzubestimmen.<\/p>\n Bereits als Google Verschl\u00fcsselung im Jahre 2014 zum Rankingfaktor machte (wir berichteten<\/a>), stieg der verschl\u00fcsselte Web-Traffic an. Nun m\u00f6chte Google noch einen Schritt weitergehen: Anstatt wie bisher Seiten, die ein SSL-Zertifikat<\/a> nutzen, als sicher zu kennzeichnen, wird Chrome unsichere, also unverschl\u00fcsselte Sites als solche kennzeichnen. Dieser Schritt wird die Verschl\u00fcsselung im World Wide Web sicherlich noch einmal vorantreiben \u2013 schlie\u00dflich orientiert man sich am Weltmarktf\u00fchrer und andere Browser werden auch diesmal sicherlich nachziehen.<\/p>\n Dass Googles Strategie aufgeht, zeigen nackte Zahlen: Googles Statistiken zeigen, dass schon 68 % des Chrome-Traffics unter Android und Windows verschl\u00fcsselt sind. Auf sogar 78 % kommen Chrome OS sowie macOS. Google bezieht sich weiter auf die Top-100-Websites, von denen 81 Seiten HTTPS nutzen.<\/p>\n Google m\u00f6chte, dass der verschl\u00fcsselte Traffic weiterhin zunimmt. Daf\u00fcr stellt der Internetgigant einige Tools zur Verf\u00fcgung. Mithilfe eines speziellen Audits<\/a> soll es gelingen, Mixed Content (Kombination aus unverschl\u00fcsselten und verschl\u00fcsselten Inhalten) aufzusp\u00fcren. Um die Qualit\u00e4t von Websites zu optimieren, eignet sich Lighthouse<\/a>. Mit diesem Tool werden Ressourcen aufgesp\u00fcrt, die der Browser per HTTP l\u00e4dt.<\/p>\n Bisher wurden in Chrome HTTPS-Sites mit dem Text \u201eSicher\u201c versehen und ein gr\u00fcnes Schloss stellte diese Sicherheit optisch dar. HTTP-Verbindungen hingegen waren lediglich an einem neutralen i-Symbol erkennbar. Mit einem Klick darauf erhielt man die Information: \u201eDie Verbindung zu dieser Seite ist nicht sicher\u201c.<\/p>\n In seinem Blogbeitrag k\u00fcndigt Google nun an, von dieser bisherigen Strategie abzuweichen, um unverschl\u00fcsselte HTTP-Seiten noch deutlicher kenntlich zu machen. Ab Version 68, die im Juli erscheint, f\u00e4llt der Hinweis, dass eine Site unsicher ist, viel deutlicher ins Auge. Denn neben dem schon bekannten i-Symbol wird dann \u201eNot secure\u201c \u2013 \u201eunsicher\u201c zu lesen sein.<\/p>\n Weiter ist zu beachten, dass Chrome mit der Version 70 vor Symantec-Zertifikaten warnen wird. Warum der Symantec-Gruppe das Vertrauen entzogen wurde, erkl\u00e4ren wir im Beitrag \u201eChrome entzieht Symantec, Thawte und GeoTrust das Vertrauen<\/a>\u201c.<\/p>\n Dass der verschl\u00fcsselte Traffic zunimmt, ist zweifelsfrei eine gro\u00dfartige Entwicklung, denn sie macht das World Wide Web sicherer. Es scheint der n\u00e4chste logische Schritt zu sein, soeben vor unverschl\u00fcsselten Sites zu warnen \u2013 denn verschl\u00fcsselte Sites sind zum Standard geworden.<\/p>\n Dennoch sind die Browser-Darstellungen von SSL-Zertifikaten zu kritisieren. Denn in der Darstellung wird leider kaum mehr ein Unterschied zwischen verschieden validierten SSL-Zertifikaten gemacht. Jedoch existieren wichtige Unterschiede bei den verschiedenen Zertifikatstypen. W\u00fcnschenswert w\u00e4re eine differenzierte Darstellung von verschl\u00fcsselten Sites sowie eine sehr deutliche Warnung vor unverschl\u00fcsselten Webseiten.<\/p>\nHTTPS immer weiter verbreitet<\/h3>\n
Chrome 68 warnt vor unverschl\u00fcsselten Sites<\/h3>\n
Fazit: Google m\u00f6chte auff\u00e4lliger warnen<\/h3>\n