Seit Bekanntwerden der Massenüberwachung des Netzes vor allem durch die US-Geheimdienste, hat sich in Sachen HTTPS einiges getan. Waren entsprechende Zertifikate früher noch relativ teuer und viele Hosting-Pakete hatten den Einsatz von HTTPS nicht unterstützt, so ist es heute zumindest bei höherwertigen Hosting-Paketen inzwischen Standard. Und Zertifikate gibt es dank Let’s Encrypt kostenlos und mit passender Software, die die automatische Verlängerung gleich automatisiert und die zwischenzeitlich auch in Tools wie Plesk integriert werden kann. Da ist es nur logisch, dass Google den nächsten Schritt geht, HTTPS zu mehr Verbreitung zu verhelfen.
Neben der Nutzung von HTTPS für die eigenen Dienste, inklusive der Auslieferung von Werbung und der Aufnahme von HTTPS als Kriterium für das Ranking von Seiten in der Websuche, gehören entsprechende Einstellungen und Warnungen in Google Chrome zu den Maßnahmen, mit denen Google für mehr Verschlüsselung im Web sorgen möchte.
HTTPS-Verschlüsselung: Google-Werbedienste werden sicherer
Google will https über die Websuche pushen
Aber Januar 2017 (Chrome 56) werden HTTP-Seiten, die Formularfelder für Passwörter oder Kreditkarteninformationen enthalten als „nicht sicher“ markiert. Das ist Teil des langfristigen Plans, alle HTTP-Seiten als nicht sicher zu markieren.
Aktuell zeigt Chrome – wie auch andere Browser – HTTP-Seiten ohne Sicherheitswarnung in der Adresszeile an, eben „neutral“, was aber eben nicht wirklich zutreffend ist. Immerhin können HTTP-Verbindungen ohne größere Probleme abgehört und verfälscht werden. Das ist der Grund, warum Google HTTP-Verbindungen in Chrome in Zukunft häufiger als unsicher markieren will.
So sollen in späteren Chrome-Releases HTTP-Verbindungen im Inkognito-Modus grundsätzlich als unsicher gekennzeichnet werden, da in diesem Modus der Nutzer auch höhere Erwartungen bezüglich der Sicherheit hat. Langfristig könnte es dazu führen, dass in Chrome alle HTTP-Verbindungen als unsicher und darüber hinaus mit der roten Warnung versehen werden, die aktuell bei kaputten HTTPS-Verbindungen zum Einsatz kommt.
Im Blogbeitrag mit der Ankündigung verweist Emily Schechter vom Chrome Security Team auch auf den HTTPS Report von Google. Dort hat Google im Februar erstmals die Top-100-Websites auf die Verwendung von HTTPS untersucht. Diese Top-100 hat Google anhand eigener Daten erstellt und laut diesen Daten machen diese Websites etwa 25% des weltweiten Website-Traffics aus. Seit der ersten Veröffentlichung des Reports haben 12 weitere Sites daraus auf HTTPS als Standard-Verbindung umgestellt. Die verschiedenen Maßnahmen, nicht nur von Google, bringen also erste Erfolge und möglicherweise ist die HTTPS-only-Zukunft gar nicht mehr so weit entfernt.
