Kein HTTPS: Chrome 68 kennzeichnet unsichere Webseiten

22 Jul 2018

Nur kurze Zeit nach dem Release von Chrome 67 am 29. Mai 2018 folgte bereits das nächste Update für den beliebten Browser von Google: Laut dem hauseigenem Chromium-Blog gilt Chrome 68 ab Anfang Juli 2018 als stabil und ersetzt somit die vorangegangene Beta-Version.

Zu den einzelnen, teils vernachlässigbaren Modifikationen findet man hier eine Übersicht. Insgesamt folgt die Aktualisierung ganz klar dem Leitsatz der Internetsicherheit. Denn Chrome ist nun offiziell der erste Webbrowser,der Webseiten ohne HTTPS explizit als unsicher kennzeichnet. Vorherige Versionen und auch der Konkurrent Mozilla Firefox hatten bislang nur in Login-Formularen oder bei der Eingabe von Bankdaten darauf hingewiesen, wenn die besuchte Seite über kein SSL-Zertifikat verfügt. Wir erklären, was sich im Detail geändert hat und wie Sie als Webseitenbetreiber am besten darauf reagieren.

Was ändert sich mit Chrome 68 bezüglich HTTPS?

Die wichtigste Änderung bemerken Nutzer direkt in der Adresszeile des Browsers: Alle Domains und Subdomains einer Website, die über kein gültiges SSL-Zertifikat verfügt, werden um den Schriftzug „Nicht sicher“ links neben der URL ergänzt. Dies gilt wider Erwarten nicht nur für E-Commerce-Plattformen, die Kontakt- und Bankinformationen verarbeiten. Auch Websites, die keine personenbezogenen Daten erheben (beispielsweise Blogs, Foren und andere rein informative Portale), bleiben von dieser Negativ-Kennzeichnung nicht verschont. Dasselbe gilt auch für interne Webseitenumgebungen von Firmen. Nachdem diese bisher auf ein SSL-Zertifikat verzichten konnten, wird HTTPS mit Chrome 68 nun quasi obligatorisch. Andernfalls müssen die betroffenen Webseitenbetreiber damit rechnen, einen großen Teil ihrer Zielgruppe zu verlieren, sofern diese die Warnmeldung des Browsers ernst nehmen.

In der Vergangenheit hatte lediglich ein kleines „i“-Symbol auf eine fehlende Verschlüsselung bei der Kommunikation zwischen Browser und Webseite hingewiesen. Erst nach einem Mausklick oder im Inkognito-Modus wurde auch eine schriftliche Sicherheitswarnung angezeigt. Im Zuge einer eigenen Studie stellte Google jedoch fest, dass das unscheinbare Symbol von den meisten Usern schlicht übersehen wurde. Da der Schriftzug „Nicht sicher“ nun deutlich zentraler angezeigt wird, sollte der Hinweis trotz seiner dezent grauen Farbgebung für jeden Chrome-Nutzer gut zu erkennen sein.

Was will Google mit Chrome 68 erreichen?

Schon seit längerer Zeit präsentiert sich Google als Advokat in Sachen Internetsicherheit. Die im Januar 2017 veröffentlichte Chrome-Version 56 warnte bereits vor Webseiten, die sensible Daten wie Passwörter, Bankdaten und E-Mail-Adressen über eine unverschlüsselte Verbindung verarbeiteten. Auch die DSGVO nahm der Konzern sogleich zum Anlass, um Werbung in eigener Sache zu betreiben und die Wichtigkeit von Datenschutz hervorzuheben. In diesem Kontext soll nun auch Chrome 68 dabei helfen, seine Nutzer für das Thema zu sensibilisieren und sie vor Cyberkriminalität zu schützen.

Wahrscheinlich verfolgt Google damit auch eigene Interessen: Dem Konzern liegt viel daran, dass Nutzer keinesfalls das Vertrauen ins World Wide Web verlieren. Damit das Wachstum des Unternehmens nicht einbricht, müssen Internutzer mehr und mehr Zeit online verbringen. Negative Schlagzeilen aufgrund von Internetkriminalität schaden somit auch Google. Eine großangelegte Kampagne gegen unsichere SSL-Zertifikate der Firma Symantec hat bereits gezeigt, wie ernst es Google mit dieser Sache ist. Und dieses Vorgehen Googles für mehr Datensicherheit wirkt sich letztlich auch positiv auf das Image des Unternehmens auf, das aufgrund des Sammelns personenbezogener Daten selbst immer wieder in Kritik geraten ist.

Welche Folgen hat das Chrome-68-Update?

Es sollte bereits weithin bekannt sein, dass im Google-Ranking Webseiten mit HTTPS gegenüber solchen ohne SSL-Zertifikat bevorzugt werden. Eine gut sichtbare Kennzeichnung als „Nicht sicher“ könnte sich aber noch unmittelbarer auf die Besucherzahlen einer Onlinepräsenz auswirken. So fand die Zertifizierungsstelle Globalsign 2014 durch eine Umfrage heraus, dass sich 85 Prozent der befragten Onlineshopper von unverschlüsselten Webseiten abgeschreckt fühlen.

Angesichts der Pionierrolle von Google in der Internetbranche ist es naheliegend, dass andere Browser-Anbieter dem Vorbild folgen und Webseitenbetreiber ohne gültiges SSL-Zertifikat künftig ebenfalls anprangern werden. Denkbar wäre sogar, dass HTTP-Seiten langfristig ganz aus dem Index der weltweit meistgenutzten Suchmaschine verbannt werden – konkrete Pläne hierzu sind aber noch nicht bekannt.

Was müssen Sie als Webseitenbetreiber jetzt tun?

Spätestens mit dem Update auf Chrome 68 sollten Webseitenbetreiber ernsthaft darüber nachdenken, auf HTTPS umzusteigen. Das Protokoll für die sichere Datenübertragung soll verhindern, dass unbefugte Dritte die Kommunikation zwischen einer Webseite und ihren Besuchern manipulieren oder abhören können. Unabhängig davon, ob SSL (Secure Sockets Layer) oder die modernere TLS-Technik (Transport Layer Security) zum Einsatz kommt, hat eine solche Zertifizierung durch einen renommierten Anbieter klare Vorteile. Neben Rankingvorteilenbei Google und einer beschleunigten Performance dank HTTP/2 ist insbesondere auch das erhöhte Vertrauen der User ein wesentlicher Pluspunkt, der für den Einsatz von HTTPS spricht. Denn von diesem Vertrauen profitiert auch der Betreiber, führt es doch zu einer geringeren Absprungrate der Seitenbesucher.

Laut Chromium-Blog nutzen bereits 81 der Top-100-Webseiten SSL bzw. TLS zur Verschlüsselung ihrer Webseiten, 68 Prozent des Chrome-Traffics über Android und Windows und knapp 78 Prozent über Chrome-OS und Mac sind zudem HTTPS-geschützt. Wer also bis jetzt noch nicht mitgezogen ist, der gehört ganz offensichtlich zu einer Minderheit

Bei ORC Webhosting sind SSL Zertifikate schon lange STANDART

Kunden von ORC Webhosting erhalten schon seit langem zu jedem Webhosting Paket ein SSL Zertifikat. Sie müssen lediglich eine korrekte Weiterleitung einrichten: Um sogenannten Duplicate Content zu vermeiden, muss der Webmaster die korrekte Weiterleitung über einen 301-Redirect einrichten. So vermeidet man, dass die Suchmaschine die HTTP-Seite und die HTTPS-Seite als zwei verschiedene Internetseiten wertet und von diesen unterschiedliche Inhalte erwartet.