Google testet Auto-Update-to-HTTPS-Funktion für Chrome

Google arbeitet an einer neuen Funktion für seinen Browser Chrome. Sie soll ein Problem lösen, das bei der Verwendung von sicherem HTTP (HTTPS) auftritt: solche Websites beinhalten unter Umständen Bilder oder andere Komponenten, die über unverschlüsselte Verbindungen geladen werden und dann eine Fehlermeldung auslösen können.

Chrome soll künftig in solchen Fällen versuchen, die unverschlüsselten Inhalte über eine verschlüsselte Verbindung zu laden, sprich ein automatisches Upgrade von HTTP zu HTTPS durchzuführen. Zu diesem Zweck soll der Browser einfach die URL eines Bilds, Videos, Skripts oder Stylesheets ändern.

Die Überlegung dahinter ist, dass Betreiber von Websites bei der Umstellung auf HTTPS möglicherweise nicht alle Links für das Laden externer Ressourcen von HTTP auf HTTPS geändert haben. Google nimmt also an, dass diese Ressourcen, obwohl sie unverschlüsselt aufgerufen werden, tatsächlich auch auf einem Server mit verschlüsselter Verbindung zur Verfügung stehen.

Sollte diese Annahme korrekt sein, wird eine Seite normal geladen, und zwar vollständig über verschlüsselte Verbindungen. Liegen aber dennoch gemischte Inhalte vor, zeichnet Chrome den Fehler auf und führt eines von mehreren alternativen Szenarien aus, die Google in einem Dokument über das Auto-Update-Experiment beschreibt.

Ziel der Tests ist es unter anderem, die Verbreitung von gemischten Inhalten zu ermitteln. Google will aber auch herausfinden, wie Websites auf das automatische HTTPS-Upgrade reagieren und welche Vorteile sich für Sicherheit und Ladezeiten ergeben. Die Tests sollen außerdem zeigen, ob eine Fallback-Option auf HTTP benötigt wird oder ob künftig darauf verzichtet werden kann, sprich unverschlüsselte Inhalte einfach nicht mehr geladen werden.

Sollte sich beispielsweise herausstellen, dass nur noch wenige Seiten gemischte Inhalte nutzen und dass diese Seiten auch ohne die unverschlüsselten Komponenten nutzbar sind, könnte Google die Auto-Update-Funktion kurzfristig einführen und auch auf ein HTTP-Fallback verzichten.

An dem Test können Nutzer nicht von sich aus teilnehmen. Stattdessen schaltet Google das Experiment bei einem Prozent der Nutzer der Canary-Version von Chrome frei, die die Funktion „#enable-origin-trials“ aktiviert haben.