Google plant deutlichere Kennzeichnung unsicherer Websites in Chrome

In einem Beitrag im Security Blog hat Google seine Pläne präsentiert, unsichere HTTP-Seiten künftig in seinem Browser Chrome explizit als solche zu kennzeichnen. Zu diesem Zweck wird die für Januar 2017 geplante Version 56 eine Überarbeitung der Adressleiste erfahren. Der URL unverschlüsselter Websites soll der Warnhinweis „Not secure“ („nicht sicher“) vorangestellt werden. Zunächst werden aller Voraussicht nach ausschließlich Seiten betroffen sein, die Kreditkartendaten und Passwörter über das unverschlüsselte Protokoll übertragen wollen. Wie sehen die langfristigen Schritte aus und welche Konsequenzen hat das Update für Website-Betreiber und Benutzer?

Wenn Chrome 56 wie geplant zu Beginn nächsten Jahres erscheint, werden anfänglich nur die Webadressen solcher Projekte mit dem „Not secure“-Label versehen, die Kreditkarteninformationen und Passwörter über das unverschlüsselte Hyptertext Transfer Protocol (HTTP) übertragen. Bisher weist der Browser des Suchmaschinenriesens auf solche und alle anderen Webangebote, die Daten ohne TLS-/SSL-Zertifikat übertragen, nicht explizit hin. Ihnen fehlt schlichtweg eine Kennzeichnung wie das grüne Schlosssymbol, das das Adressfenster verschlüsselter Seiten ziert. Dieser neutrale Indikator für die Sicherheit von Webprojekten wird von einem Großteil der Nutzer gar nicht wahrgenommen, wie eine von Google und der University of California durchgeführte Studie unter Beweis gestellt hat.

In den nachfolgenden Chrome-Versionen sollen die Warnhinweise anschließend kontinuierlich ausgeweitet werden. So ist ein möglicher zweiter Schritt, den „Not secure“-Hinweis im Inkognito-Modus, den vor allem User mit hohen Erwartungen an die Sicherheit verwenden, für alle HTTP-Pages einzublenden. Auch über eine generelle Kennzeichnung aller unverschlüsselten Seiten im Standardmodus denkt Google laut der Aussagen im Blogbeitrag nach. Möglicherweise erhalten die entsprechenden URLs in der Adresszeile dann zusätzlich das rote Warndreieck, das bisher noch bei fehlerhaft konfigurierten HTTPS -Websites zum Einsatz kommt.

Bereits im August 2014 verkündete Google, dass die Verschlüsselung der Datenübertragung per SSL bzw. TLS im Rahmen der allgemeinen Sicherheit des World Wide Webs fortan auch in die Bewertung einfließen würde. Auf diese Weise sollten Website-Betreiber dazu motiviert werden, die Zertifizierung des eigenen Projekts in Angriff zu nehmen. In Kombination mit der Tatsache, dass der Umstieg auf HTTPS seitdem immer kostengünstiger und einfacher geworden ist, ist die Zahl verschlüsselter Webangebote in diesen zwei Jahren deutlich gestiegen. Mit der neuerlichen Offensive will Google nun die entscheidende Phase einleiten, der sich ambitionierte Website-Betreiber nur schwer werden entziehen können. Rund zwei Drittel der weltweiten Nutzer greifen laut den Statistiken von w3schools via Chrome auf das Web zu – Tendenz steigend.

Wenn User mithilfe Ihres Browsers auf eine Seite zugreifen, tun sie heutzutage in der Regel mehr, als einfach nur einen Artikel anzuklicken. Der oft genannte digitale Fingerabdruck ist nicht nur das Ergebnis der Ausspionierung durch unerkannte Cookies und Tracking-Tools. Immer häufiger hinterlässt man eigene Informationen auch ganz bewusst, etwa in Beiträgen auf sozialen Netzwerken und Foren oder wenn die Nutzung eines Webangebots an die Anmeldung zu einem Newsletter bzw. an einen persönlichen User-Account gebunden ist. In vielen Fällen ist die Angabe der E-Mail-Adresse gefordert, manchmal gibt man aber sogar weitaus sensiblere Informationen preis.

Standardmäßig werden diese Daten wie Passwörter, Benutzerdaten, Adress- oder Bankkontoangaben vom Browser über das Hypertext-Übertragungsprotokoll an die Datenbank der jeweiligen Website übertragen. Seit den Anfängen des Webs leistet dieses Protokoll hervorragende Dienste, es lässt allerdings eine Verschlüsselung der transportierten Informationen vermissen. Daher liegen alle Datenpakete, die über eine HTTP-Verbindung übertragen und auf dem Weg zwischen Browser und Webserver abgefangen werden, im Klartext vor. So können Cyberkriminelle problemlos an die Log-in-Daten für Ihren E-Mail-Account, Ihr Onlinebanking-Konto oder Ihre Wohnadresse gelangen. Durch den Einsatz eines SSL-/TLS-Zertifikats stellen Website-Betreiber sicher, dass alle kommunizierten Daten verschlüsselt übertragen und so vor Dritten geschützt werden.

Da der Großteil der Internetgemeinde die Bedeutung von SSL-/TLS-Zertifizierung für Webprojekte noch nicht erkannt zu haben scheint, geht Google mit Chrome 56 in die nächste Aufklärungsrunde. Das rundum erneuerte Warnsystem soll mehr User für die wichtige verschlüsselte Datenübertragung sensibilisieren und bisher inaktive Website-Betreiber zum Handeln zwingen. Die geplanten Änderungen legen die Vermutung nahe, dass dieses Vorhaben gelingen wird und Chrome-Nutzer die als unsicher markierten Seiten künftig vermehrt meiden.

Zusätzlich könnte sich Google dazu entscheiden, den Rankingfaktor HTTPS noch prominenter in die Bewertung einfließen zu lassen. Während Chrome-Nutzer ein neues Sicherheitsfeature erhalten, wird Website-Besitzern also die Entscheidung, ob sie SSL/TLS benötigen oder nicht, quasi abgenommen. Der Umstieg auf den verschlüsselten Datentransfer zählt nicht erst mit Chrome 56 für jeden ambitionierten Verantwortlichen, der auf der Suche nach neuen Nutzern für sein Webprojekt ist, zum Pflichtprogramm. Dabei gilt wie so oft das Motto: Je früher, desto besser.