Ab Juli kennzeichnet Chrome unverschlüsselte Webseiten als “nicht sicher”. Google erhöht damit den Druck auf die Seitenbetreiber, HTTPS zu verwenden. Daneben entzieht der Internetkonzern Symantec-Zertifikaten das Vertrauen.
Google propagiert seit einigen Jahren die Verschlüsselung von Webseiten. Seit 2014 berücksichtigt der Suchmaschinenbetreiber HTTPS zudem als Ranking-Faktor. Das Engagement für die Verschlüsselung zeigt offenbar Wirkung. Waren Mitte 2015 erst 40 Prozent der Webseiten, die Chrome-User unter Windows aufriefen, verschlüsselt, sind es heute gemäß Googles Statistiken bereits 70 Prozent. Unter macOS sind es gar 79 Prozent. Und von den 100 wichtigsten Websites setzen aktuell 79 auf HTTPS.
Warnhinweis ab Chrome 68
Im Juli zieht der Internetgigant die Daumenschrauben weiter an. Wie Google angekündigt hat, wird Chrome ab Version 68 unverschlüsselte Webseiten durch einen Hinweis in der Adresszeile als “nicht sicher” brandmarken. Unerwartet kommt diese Entwicklung nicht. Denn heute schon bezeichnet der Browser HTTP-Seiten als “nicht sicher”, wenn sie Benutzereingaben wie Passwörter oder Adressdaten verlangen oder wenn der Nutzer im Inkognito-Modus surft.
Um Webmastern den Umstieg auf HTTPS zu erleichtern, hat Google das Entwickler-Tool Lighthouse angepasst. Neu soll ein Test zeigen, ob eine SSL-gesicherte Webseite unverschlüsselten Content (beispielsweise Grafiken oder Skripte) einbindet. Google betont in seiner Ankündigung, dass es noch nie so leicht und günstig war, eine HTTPS-Seite einzurichten.
Tatsächlich bietet Let’s Encrypt, eine Initiative, die von Google, Mozilla und weiteren Branchengrößen gesponsert wird, kostenlose SSL-Zertifikate an. Die wichtigsten deutschen Webhoster wie 1&1, Strato und Hetzner ermöglichen zwar keine automatisierte Integration von Let’s-Encrypt-Zertifikaten. Oft ist jedoch im Preis für das Hosting-Angebot ein kommerzielles Zertifikat inbegriffen.
Symantec-Zertifikate nicht mehr akzeptiert
Obwohl Chrome verschlüsselte Webseiten in der Adresszeile als “sicher” ausweist, sind sie nicht zwingend ungefährlich. Gerade das Angebot von Gratis-Zertifikaten ruft auch lichtscheue Gestalten auf den Plan. So fand ein Kryptografieexperte letztes Jahr heraus, dass Let’s Encrypt über 15.000 Zertifikate auf Domains ausgestellt hatte, die den Namensbestandteil “paypal” enthielten. Die Mehrheit dieser Zertifikate wurde wohl für Phishing-Zwecke missbraucht.
Ein weiteres Problem betrifft die Zertifikate von Symantec. Das Softwareunternehmen stellte wiederholt Zertifikate ohne Zustimmung der Domaininhaber aus – angeblich zu Testzwecken. Unter anderem machte es mit gefälschten Google-Zertifikaten von sich reden.
Jetzt hat Google Konsequenzen angekündigt. Ab Version 66 betrachtet Chrome alle Zertifikate, die Symantec vor dem 1. Juni 2016 ausgestellt hat, als ungültig. Ab Version 70 akzeptiert der Browser überhaupt keine Symantec-Zertifikate mehr. Auch Zertifikate der zum Symantec-Konzern gehörenden Zertifizierungsstellen VeriSign, Thawte, GeoTrust, Equifax und RapidSSL funktionieren dann nicht mehr. Der Vertrauensentzug betrifft mehr als 100.000 der meistbesuchten Websites, darunter Spiegel Online und der Internetauftritt des Bundesfinanzministeriums.
1 Kommentare
[…] Webseitenbetreiber sollten ein gültiges SSL-Zertifikat besitzen, damit die Daten zwischen dem Server der Webseite und dem Browser des Nutzers stets verschlüsselt übertragen werden. Ob ein SSL-Zertifikat vorhanden und funktionsfähig ist, zeigt ein SSL-Check. Wird SSL verwendet, ist das am Protokoll HTTPS erkennbar. Die URLs von auf diese Art gesicherten Websites beginnt mit “https” und ist in den meisten Browsern zusätzlich durch ein Schlosssymbol gekennzeichnet. Vor den nicht vertrauenswürdigen Zertifikaten des Anbieters Symantec soll in Zukunft gewarnt werden. […]