Categories: Browser

Google integriert Warnung vor unverschlüsseltem HTTP in Chrome

Google hat in seinem Browser Chrome eine Option eingeführt, die vor unverschlüsseltem HTTP warnen kann. Damit setzt es eine Ankündigung von 2014 um. Die Standardeinstellung ist vorerst aber noch, bei HTTP-Zugriffen keine Warnung auszugeben.

Unter chrome://flags findet sich ein Eintrag für „Nicht sicheren Ursprung als nicht sicher markieren“. Dies bezieht sich auf HTTP-Seiten. Sie können entweder „neutral“ erscheinen, was die Standardeinstellung bleibt, oder „als nicht sicher markiert“ werden. Googles Wortwahl mit der Wiederholung des Ausdrucks „nicht sicher“ lässt keinen Zweifel zu, welche Option es selbst vorziehen würde.

Als Beispiel für die Wirkung des Warnhinweises hat Google einen Screenshot der New York Times erstellt, die derzeit noch keine Verschlüsselung für Browserzugriffe verwendet. In der Adressleiste erscheint dann ein vergleichsweise dezentes rotes X über dem Schlossymbol.

Chrome-Flagge für nicht sichere Seiten (Screenshot: ZDNet.de)

Im Dezember 2014 hatte Google erstmals vorgeschlagen, HTTP als unsicher einzustufen. Im Februar 2015 folgte dann die Umsetzung in der Canary-Version von Chrome. Schon früher unterstützte das Unternehmen Verschlüsselung auch durch eine Aufwertung in seinem Suchindex.

HTTPS, also verschlüsseltes HTTP, kommt heute nicht nur bei Google-Diensten wie Gmail zum Einsatz, sondern auch in Social Networks wie Facebook und Twitter oder bei Yahoo Mail. Bei reinen Inhalte-Angeboten, die zudem kein Log-in erfordern, scheint es zunächst überflüssig, schränkt aber zumindest Usertracking und auch Versuche ein, die Webverbindung etwa durch Man-in-the-Middle-Angriffe zu entführen.

Chrome weist darauf hin, dass ZDNet.de unverschlüsseltes HTTP einsetzt (Screenshot: ZDNet).

Einige Kritiker halten Warnungen vor unverschlüsselten Verbindungen für übertrieben, manche befürchten auch, dass die User abstumpfen und letzten Endes auf wichtigere Warnungen nicht reagieren. Bisher verfolgte Google den Ansatz, auf unverschlüsselten Seiten keine Warnung, aber auf verschlüsselten ein grünes Häkchen anzubringen. In Zukunft könnte es sogar SSL/TLS zur Norm erklären und nur noch EV-SSL-Zertifikate als besonders sicher markieren.

Google verschlüsselt Verbindungen mit Gmail und mit seiner Suche seit 2010. Schon damals argumentierte sein Sicherheitsexperte Adam Langley, SSL/TLS-Verschlüsselung brauche nicht mehr viel Rechenkraft. Seit den NSA-Enthüllungen durch Edward Snowden hat es seine Bemühungen aber noch erheblich verstärkt. Dies spiegelt sich auch in einem höheren Page Rank für verschlüsselte Angebote wider.

HIGHLIGHT

Produktiver arbeiten mit Unified Communications & Collaboration

Mit Unified Communications & Collaborations können Unternehmen die Produktivität der Anwender steigern, die Effizienz der IT verbessern und gleichzeitig Kosten sparen. Damit die unbestrittenen Vorteile einer UCC-Lösung sich in der Praxis voll entfalten können, müssen Unternehmen bei der Implementierung die Leistungsfähigkeit der Infrastruktur überprüfen.

Parallel hat Google diese Woche ein Chrome-Werkzeug eingeführt, das Webentwicklern den Einsatz von HTTP erleichtern soll. Es heißt Security Panel und liefert Hinweise, warum eine Site kein grün markiertes Schloss für eine sichere Verbindung erhält. Dazu wird beispielsweise die Gültigkeit de Zertifikats geprüft, das Protokoll, die Cipher Suite und das Schlüsseltauschverfahren.

Security Panel erkennt auch Probleme durch eine Mischung verschlüsselter und nicht verschlüsselter Inhalte – etwa wenn ein einzelnes Bild per HTTP eingebunden ist. In diesem Fall erscheint heute ein graues Schloss mit einem übergelegten gelben Dreieck als Warnhinweis.

Tipp: Wie gut kennen Sie Firefox? Überprüfen Sie Ihr Wissen – mit dem Quiz auf silicon.de.

Florian Kalenda

Seit dem Palm Vx mit Klapp-Tastatur war Florian mit keinem elektronischen Gerät mehr vollkommen zufrieden. Er nutzt derzeit privat Android, Blackberry, iOS, Ubuntu und Windows 7. Die Themen Internetpolitik und China interessieren ihn besonders.

Recent Posts

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

2 Stunden ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

18 Stunden ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

22 Stunden ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

22 Stunden ago

Lags beim Online-Gaming? DSL-Vergleich und andere Tipps schaffen Abhilfe

Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…

23 Stunden ago

GenKI-Fortbildung immer noch Mangelware

Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…

23 Stunden ago