Zusammenfassung
Google hat bekanntgegeben, wie man in Zukunft im hauseigenen Browser Chrome HTTP- und HTTPS-Sites markieren wird. Ab September 2018 wird der Browser damit aufhören, HTTPS-Seiten als „sicher“ in der Adressleiste zu markieren.
Der Gedanke dahinter ist: https sollte mittlerweile als „normaler“- Standard gelten und http Seiten eben nicht mehr. In einem zweiten Schritt ab Oktober 2018 werden in Chrome http-Seiten mit dem roten Label „Not secure“ als nicht sicher markiert.
Google fördert und fordert ein Mehr an sicherem HTTPS-Protokoll seit mehreren Jahren. Im vergangenen Jahr hat das Unternehmen seine Bemühungen intensiviert, Änderungen an der Benutzeroberfläche des Browsers Chrome vorgenommen. Chrome 56, das im Januar 2017 veröffentlicht wurde, begann, HTTP-Seiten, an denen Eingabe von Passwörtern oder Benutzerkreditkartendaten möglich war, als unzuverlässig zu kennzeichnen. Chrome 62, veröffentlicht im Oktober 2017, hat begonnen, alle HTTP-Websites im Inkognito-Modus so zu markieren.
Mit der Veröffentlichung von Chrome 68 im Juli 2018 werden alle HTTP-Sites vom Browser als nicht geschützt markiert, aber dieses Label wird vorerst weiterhin grau bleiben.
Mit der Veröffentlichung von Chrome 69 im September 2018 werden HTTPS-Sites nicht mehr als „sicher“ markiert. Das wird so sein, weil laut Google erwarten sollten, dass das Internet standardmäßig sicher ist und Warnungen werden nur angezeigt bekommen sollen, wenn es Probleme gibt, wie das dann bei non-https Sites wäre.
Mit der Veröffentlichung von Chrome 70 im Oktober 2018 auf allen HTTP-Sites werden jedem Nutzer bei der Eingabe von Daten eine rote Warnung „Nicht geschützt“ angezeigt. Es ist bemerkenswert, dass die Seite zunächst als ungeschützt aber in grau markiert wird. Wenn der Benutzer dann beginnt, Daten einzugeben, wird diese Warnung rot angezeigt. Das soll als Warnung einmal mehr das Bewusstsein in Sachen Sicherheit beim Internetuser erzeugen.
Was das für Website-Betreiber bedeutet
Für Betreiber von Websites ist diese Entwicklung mehr als nur ein kosmetisches Detail. Wer heute noch auf HTTP setzt, riskiert nicht nur ein sichtbares Warnsignal im Browser, sondern auch Vertrauen bei den Besuchern. Und Vertrauen ist im Netz oft der Punkt, an dem sich entscheidet, ob jemand bleibt oder wieder geht.
Gerade bei Formularen, Logins oder Shops wird das schnell spürbar. Eine Warnung in der Adressleiste wirkt wie ein kleines Stoppschild. Man klickt nicht mehr so unbefangen weiter, sondern schaut erst einmal genauer hin.
- HTTPS schafft eine verschlüsselte Verbindung zwischen Browser und Server.
- HTTP bleibt unverschlüsselt und damit anfälliger für Manipulationen.
- Browser-Hinweise beeinflussen direkt die Wahrnehmung von Sicherheit.
Ein sinnvoller nächster Schritt
Wer seine Seite noch nicht umgestellt hat, sollte das Thema nicht aufschieben. Ein SSL-Zertifikat ist heute kein Luxus mehr, sondern eher die Basis. Die technische Umstellung ist in vielen Fällen überschaubar, der Effekt auf die Außenwirkung aber deutlich.
| Chrome-Version | Verhalten bei HTTP/HTTPS |
|---|---|
| Chrome 56 | HTTP-Seiten mit sensiblen Eingaben werden als unzuverlässig markiert |
| Chrome 62 | HTTP-Seiten im Inkognito-Modus werden gekennzeichnet |
| Chrome 68 | Alle HTTP-Sites werden als nicht geschützt markiert |
| Chrome 69 | HTTPS-Seiten werden nicht mehr als „sicher“ markiert |
| Chrome 70 | HTTP-Seiten erhalten bei Dateneingabe eine rote Warnung |
Langfristiges Ziel von Google ist es, die Sicherheit des gesamten Internets zu verbessern, indem alle Websites auf das HTTPS-Protokoll umgestellt werden. Genau in diese Richtung schiebt Chrome die Nutzer nun Schritt für Schritt weiter.
