HTTPS: A secure web is here to stay
Google ist davon überzeugt: Durch Verschlüsselung wird das Web sicherer. Google misst die HTTPS-Verbindungen seiner Google-Chrome Nutzer seit Anfang 2015 und hält die Ergebnisse in Transparency Reports fest. Bereits heute werden beispielsweise bei Windows Nutzern 73% aller geladenen Webseiten verschlüsselt. Im März 2015 waren es noch 39%. Um diese Entwicklung weitervoranzutreiben wird Google die Kennzeichnung von nicht verschlüsselten Webseiten verändern.
Dieser Beitrag wurde von Claudio Sandmeier für secnovum verfasst.
Heute werden HTTPS-Webseiten in der Google Chrome Adressleiste mit einem grünen Schloss und dem Hinweis "Secure" gekennzeichnet. Dieser Hinweis wird künftig entfallen. Der Internet-Nutzer soll erwarten, dass das Netz "safe by default" ist, findet Google. Die Roadmap sieht für diese schrittweise Änderung folgendes vor:
- Bereits heute werden http-Webseiten in Google Chrome mit einem Informations-Symbol gekennzeichnet. Wer dieses Symbol anwählt erhält die Information, dass die Verbindung zu dieser Webseite nicht sicher ist.
- Ab Version 68 (Release voraussichtlich im Juli 2018) werden alle http-Webseiten mit "Not secure" (vorerst in dezentem grau) markiert.
- Ab Version 69 (Release voraussichtlich im September 2018) wird die grüne "Secure" Markierung bei HTTPS-Webseiten verschwinden. Bleiben wird ein graues Schloss in der Adressleiste.
- Ab Version 70 (Release voraussichtlich im Oktober 2018) wird die "Not secure"-Markierung in der Adressleiste zusätzlich rot eingefärbt und mit dem non-secure-Icon dargestellt, sobald ein Benutzer mit der Webseite interagiert.
- Noch nicht definiert ist, ab wann Google alle http-Webseiten unabhängig der Benutzer-Interaktion mit der roten "Not-secure" Markierung und dem non-secure Icon versehen wird.
Andere Browser-Hersteller sind ebenfalls dran, die Handhabung von nicht verschlüsselten Webseiten zu verändern. Mozilla Firefox bietet bereits heute Konfigurationsmöglichkeiten, um http-Webseiten deutlich als unsicher zu kennzeichnen.
Hat diese Entwicklung nur positive Aspekte?
Leider nein. Durch die Kennzeichnung von Webseiten als "sicher" und "nicht sicher" werden die Anwender zu einem Schwarz-Weiss-Denken verleitet:
- Die Markierung "Secure" bedeutet, dass die Kommunikation zwischen dieser Webseite und Ihrem Client verschlüsselt wird. Die Kommunikation wird dabei in unverständliche Form umgewandelt (verschlüsselt) die nur mit Hilfe eines Schlüssels in eine verständliche Form übersetzt (entschlüsselt) werden kann.
- Die Markierung "Not secure" bedeutet, dass die Kommunikation zwischen dieser Webseite und dem Client in Klartext übertragen wird. Ein Angreifer kann dadurch die Kommunikation mitlesen.
Die Markierung bezieht sich also nur auf die Kommunikation zwischen Webseite und Client und nicht auf den Inhalt der Webseite. Schadhafte Inhalte können identisch über verschlüsselte und nicht verschlüsselte Webseite verbreitet werden.
Ein weiterer negativerer Aspekt ist, dass Firewalls den Netzwerkverkehr nicht mehr so einfach mitlesen können. Es wird schwieriger schadhaften Code zu identifizieren oder andere böswillige Attacken zu erkennen.
Es gibt also auch bei dieser Entwicklung Vor- und Nachteile. Wenn Sie zu dem (statistisch) kleinen Kreis an Unternehmen gehören, die ihren Webauftritt noch nicht verschlüsselt haben, macht es Sinn, diesen Zustand zu verändern. Treten Sie mit Ihrem Webseiten-Verantwortlichen in Kontakt und leiten Sie die nötigen Schritte in die Wege.