Bereits vor zwei Jahren startete Google seinen Kampf gegen unverschlüsselte Webseiten. Damals verkündete der Konzern, dass er alle Webseiten mit unverschlüsselten Verbindungen namentlich nennen und als Negativbeispiel präsentieren würde. Ziel dieser Strategie war und ist, Web-Entwickler für die HTTPS-Verschlüsselung zu motivieren. Diesen Dienstag hat Google nun ernst gemacht: Mit dem Launch von Chrome 68 werden unverschlüsselte Verbindungen in der Adressleiste als „Nicht sicher“ betitelt.
Inhaltsverzeichnis
Prinzip umgedreht: Zuvor standen sichere, verschlüsselte Verbindungen im Fokus
Bisher wurde das Ganze nicht so extrem auf Kosten unverschlüsselter Webseiten durchgesetzt. Lediglich verschlüsselte HTTPS-Seiten wurden via eines grünen Vorhängeschlosses und dem Titel „sicher“ gekennzeichnet. HTTP-Seiten hatten im Gegensatz dazu ein kleines Icon, das auf Klick des Users hin Detailinfos lieferte – eben, dass die Verbindung zu dieser Seite nicht sicher ist und du keinerlei sensible Daten wie Bankdaten oder Passwörter eingeben solltest, da diese gehackt werden könnten. Diese Warnung ist nicht nur so dahingesagt: Bei einer unverschlüsselten HTTP-Verbindung kann jede Information, die die über das Web sendest, von Hackern o. ä. abgefangen werden. In besonders extremen Fällen, den so genannten „Man-in-the-middle-Attacken“ könnte jemand eine Zielseite faken und dich so dazu bringen, unwissentlich deine Kreditkarten-Daten etc. zu übergeben. „Verschlüsselung sollte ein Muss sein, dass sich Web-User automatisch erwarten können sollten,“ so Emily Schechter, Chrome Security Produktmanager.
Aber nicht nur Cyberkriminelle nutzen unverschlüsselten Traffic: Denke mal kurz zurück an Edward Snowden, der eindrucksvoll gezeigt hat, dass unverschlüsselter Traffic für Geheimdienste wie die NSA ein gefundenes Fressen ist. Immerhin lässt sich auf diesem Wege sehr viel über die Gewohnheiten und Persönlichkeiten von Web-Nutzern herausfinden … Google hat also mit diesem Ansinnen ein durchaus gutzuheißendes Ziel für alle User.
HTTP ist riskant – und beeinträchtigt auch deine Privatsphäre
Wenn du eine unsichere Verbindung verwendest, sehen dein ISP (aber auch jedwede Cyberkriminelle sowie Geheimdienste) hypothetisch nicht nur die Webseite, auf der du bist, sondern auch alle spezifischen Pages. Mit HTTPS ist das nicht der Fall, deine Privatsphäre bleibt gewahrt. Ross Schulman vom New America’s Open Technology Institute erklärt dem Wired Magazine, was alles passieren kann: „Manchmal sitzt du im Kaffeehaus. Wenn du dort auf eine HTTP-Seite gehst, poppen des Öfteren Ads auf. Dabei handelt es sich nicht um Werbeeinschaltungen der Seite selbst; sie wurden irgendwo auf dem Weg eingeschleust. Derartige Dinge schaltet HTTPS aus. Werbung ist noch das geringste Übel, auch Malware wird sehr oft auf diesem Weg verbreitet. Es geht also nicht nur um die Privatsphäre der Nutzer, sondern auch um die Absicherung der Integrität einer Webseite.“
Let’s Encrypt: HTTPS leichter als je zuvor umsetzbar
Wie weit verbreitet im Netz sind aber unverschlüsselte Seiten noch? Die meisten großen Webseite verfügen mittlerweile über HTTPS. 71 Prozent aller Webseiten auf der ganzen Welt werden von Firefox (der Browser hält gemeinsam mit Chrome den riesigen Hauptmarktanteil von 73 Prozent) mittlerweile verschlüsselt geladen. Von den Top 100 Webseiten nutzten laut Google 2016 nur 37 HTTPS, heute sind es bereits 83. Chrome-Sicherheitschefin Wechter erklärt das mit der einfacheren Verfügbarkeit von HTTPS: „Es ist nicht so, dass du eine IT-Abteilung oder Tonnen von Geld benötigst, um HTTPS umzusetzen. Vor allem für kleine, einfache Seiten ist es wirklich leicht zu bewerkstelligen.“ Dass die finanziellen, technischen und ausbildungsmäßigen Barrieren zu HTTPS großteils überwunden sind, liegt vor allem an Let’s Encrypt. Das Unternehmen stellt kostenlose Zertifikate zur Verfügung, um HTTPS-Verbindungen zu ermöglichen. Mit Stand dieser Woche verschlüsselt Let’s Encrypt unglaubliche 113 Millionen Seiten.
Verschlüsselung soll zum automatischen Web-Standard werden
Mit diesem Schritt ist Google aber noch nicht fertig: Im September wird der „Sicher“-Indikator neben HTTPS-Seiten entfernt. Dies soll signalisieren, dass verschlüsselte Verbindungen zu einem automatischen Feature, zum Web-Standard, geworden sind. Im Oktober erhältst du dann beim Versuch, Daten auf eine HTTP-Seite einzugeben, den roten Warnhinweis „Nicht sicher“. Für nicht verschlüsselte Webseiten wird es bei Chrome also immer düsterer. Erkannten nicht versierte User vorher gar nicht, dass hinter unverschlüsselten Webseiten Gefahren lauern könnten, werden sie jetzt ganz explizit darauf hingewiesen. EDV-Administratoren haben sicherlich kein leichtes Leben momentan … Webentwickler werden es sich bei diesen Zukunftsaussichten sicherlich zwei Mal überlegen, keine Verschlüsselung für ihre Webseiten zu nutzen. Wir als User können uns jedenfalls freuen, dass Chrome uns vor unverschlüsselten Webseiten warnt. Was wir mit diesem Wissen machen, bleibt ganz jedem Einzelnen überlassen.
Quelle: Wired Magazine, Heise
Erstellt am: 29. Juli 2018