Google warnt in Chrome vor HTTP-Verbindungen

Google setzt seine Maßnahmen gegen unverschlüsseltes HTTP in Chrome fort. Ab Januar erscheinen HTTP-Verbindungen zu Sites, die Passwörter oder Kreditkarten anfordern, als unsicher. Statt eines roten Icons kommt aber ein graues zum Einsatz, nur ergänzt durch einen verbalen Hinweis.

Diese Änderung ist für den Start von Chrome 56 vorgesehen – die aktuelle Version heißt Chrome 53. Das rote Warndreieck mit einem weißen Ausrufezeichen darin bleibt vorerst für inkorrekte HTTPS-Verbindungen (also solche mit gescheiterter Verschlüsselung) reserviert.

Langfristig will Google diese Maßnahmen aber noch verschärfen. Dann soll zunächst im Inkognito-Modus mit rotem Dreieck vor HTTP-Verbindungen gewarnt werden. Und die letzte Eskalationsstufe ist erreicht, wenn Chrome standardmäßig vor jeglicher HTTP-Verbindung warnt.

Warnhinweise in Chrome 53 und Chrome 56 (Bild: Google)

„Chrome weist HTTP-Verbindungen bisher mit einem neutralen Indikator aus“, erklärt Emily Schechter vom Chrome Security Team in einem Blogbeitrag. „Das entspricht dem tatsächlichen Mangel an Sicherheit von HTTP-Verbindungen nicht. Wenn Sie eine Website über HTTP laden, können andere im gleichen Netzwerk zusehen oder die Site modifizieren, bevor sie bei Ihnen eintrifft.“

Googles vorsichtige Kampagne gegen HTTP läuft seit 2014. Auch Schechter weist darauf hin, dass Warnsignale ihren Wert verlieren, falls sie zu oft erscheinen.

Die Warndreiecke lassen sich aber schon heute zum Standard machen: Unter chrome://flags findet sich ein Eintrag für „Nicht sicheren Ursprung als nicht sicher markieren“. Dies bezieht sich auf HTTP-Seiten. Sie können entweder „neutral“ erscheinen, was der Standardeinstellung ist, oder „als nicht sicher markiert“ werden. Googles Wortwahl mit der Wiederholung des Ausdrucks „nicht sicher“ lässt keinen Zweifel zu, welche Option es selbst vorziehen würde.

Optionale Einstellung: Google warnt vor ZDNet.de (Screenshot: ZDNet.de).

Google selbst verschlüsselt Verbindungen mit Gmail und mit seiner Suche seit 2010. Schon damals argumentierte sein Sicherheitsexperte Adam Langley, SSL/TLS-Verschlüsselung brauche nicht mehr viel Rechenkraft. Seit den NSA-Enthüllungen durch Edward Snowden hat es seine Bemühungen aber noch erheblich verstärkt. Dies spiegelt sich auch in einem höheren Page Rank für verschlüsselte Angebote wider.

Vergangenen Monat hat Google für seine Domain google.com den Sicherheitsmechanismus HTTP Strict Transport Security (HSTS) implementiert. Das bedeutet, dass ein unverschlüsselter Zugriff auf diese zentrale Google-Domain nicht mehr möglich ist.

[mit Material von Stephanie Condon, ZDNet.com]

Tipp: Wie gut kennen Sie Google? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.