Categories: Sicherheit

Google erzwingt verschlüsselten Zugriff auf google.com

Google hat für seine Domain google.com den Sicherheitsmechanismus HTTP Strict Transport Security (HSTS) implementiert. Das bedeutet, dass ein unverschlüsselter Zugriff auf diese zentrale Google-Domain nicht mehr möglich ist.

HSTS ermöglicht Websitebetreibern, Zugriffe auf HTTPS – die sichere, weil verschlüsselte Variante des Hypertext Transport Protocol – einzuschränken, um Angriffe durch SSL-Stripping und Entführung von Verbindungen als Man-in-the-Middle zu verhindern. Alle großen Browser, darunter Chrome, Edge, Internet Explorer und Safari, unterstützen diesen Standard.

„HSTS verhindert, dass Nutzer versehentlich HTTP-URLs ansteuern, indem es unsichere HTTP-URLs durch sichere HTTPS-URLs ersetzt“, erklärt Jay Brown, den Google im Sicherheitsbereich als Senior Technical Program Manager beschäftigt. „Anwender könnten solche HTTP-URLs ansteuern, indem sie eine Adresse ohne Protokollangabe in die Adresszeile eingeben, oder indem sie Links auf anderen Websites folgen.“

ANZEIGE

So lassen sich Risiken bei der Planung eines SAP S/4HANA-Projektes vermeiden

Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.

Geht man nach der von Chrome verwendeten HSTS-Preload-Liste, zählen die Dienste Docs, Gmail, Hangouts, Inbox und der Play Store zu denen, die von der HSTS-Implementierung betroffen sind. Googles Ziel ist eine Verschlüsselung jeglichen Traffics von und zu seinen Produkten und Diensten, wenn auch nicht von einem Moment auf den anderen.

Aktuell sind etwa 80 Prozent der Requests verschlüsselt, die an Googles Server gehen. Dieser Anteil steigt konstant. Beispielsweise erfolgt seit 2014 aller Gmail-Traffic verschlüsselt. Dienste wie Maps, News oder auch Werbung ziehen langsam nach.

HTTPS-Anteil bei Google-Zugriffen (Screenshot: ZDNet.com)

Brown merkt auch an, dass eine Einführung von HSTS normalerweise kein großes Problem darstellt. Google habe aber eine Reihe Schwierigkeiten umschiffen müssen, darunter gemischte Inhalte (die HSTS normalerweise blockieren würde) und alte Dienste, die erst aktualisiert werden mussten.

Um technische Probleme zu umgehen, weist Google das Verfallsdatum seiner Seiten derzeit noch im Header mit einem Tag Lebensdauer (max-age) aus. Sie werden also täglich neu vom Browswer geladen, statt sie aus dem Cache zu holen. Mittelfristig soll dies aber auf mindestens ein Jahr erhöht werden.

[mit Material von Liam Tung, ZDNet.com]

Tipp: Wie gut kennen Sie Google? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.

Florian Kalenda

Seit dem Palm Vx mit Klapp-Tastatur war Florian mit keinem elektronischen Gerät mehr vollkommen zufrieden. Er nutzt derzeit privat Android, Blackberry, iOS, Ubuntu und Windows 7. Die Themen Internetpolitik und China interessieren ihn besonders.

Recent Posts

KI-gestütztes Programmieren bringt IT-Herausforderungen mit sich

OutSystems-Studie: 62 Prozent der Befragten haben Sicherheits- und Governance-Bedenken bei Softwareentwicklung mit KI-Unterstützung.

1 Tag ago

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

4 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

5 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

5 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

5 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

6 Tagen ago