Warum sagt Google Chrome, dass Websites „nicht sicher“ sind?

Ab Chrome 68, Google Chrome Etiketten alle Nicht-HTTPS-Websites als «Nicht sicher». Sonst hat sich nichts geändert – HTTP-Websites sind genauso sicher wie immer – aber Google gibt dem gesamten Web einen Schubs in Richtung sicherer, verschlüsselter Verbindungen.

Zukünftig plant Google sogar, das Wort „Secure“ aus der Adressleiste zu entfernen. Schließlich sollten alle Websites standardmäßig sicher sein.

Wie „sichere“ HTTPS-Websites funktionieren

Chrome zeigt ein Schloss und das Wort „Secure“ an, wenn es mit einer HTTPS-Site verbunden ist.

Wenn Sie eine Website besuchen, die HTTPS-Verschlüsselung verwendet, sehen Sie das bekannte grüne Schlosssymbol und das Wort „Sicher“ in Ihrer Adressleiste.

Selbst wenn Sie Passwörter eingeben, Kreditkartennummern angeben oder sensible Finanzdaten über die Verbindung erhalten, stellt die Verschlüsselung sicher, dass niemand das Gesendete abhören oder die Datenpakete verändern kann, während sie zwischen Ihrem Gerät und dem Server der Website reisen.

Dies liegt daran, dass die Website für die Verwendung einer sicheren SSL-Verschlüsselung eingerichtet ist. Ihr Webbrowser verwendet das HTTP-Protokoll, um eine Verbindung zu herkömmlichen unverschlüsselten Websites herzustellen, verwendet jedoch HTTPS – buchstäblich HTTP mit SSL –, wenn eine Verbindung zu sicheren Websites hergestellt wird. Website-Besitzer müssen HTTPS einrichten, bevor es auf ihren Websites funktioniert.

HTTPS bietet auch Schutz vor böswilligen Personen, die sich als Website ausgeben. Wenn Sie sich beispielsweise an einem öffentlichen WLAN-Hotspot befinden und eine Verbindung zu Google.com herstellen, stellen die Server von Google ein Sicherheitszertifikat bereit, das nur für Google.com gültig ist. Wenn Google nur unverschlüsseltes HTTP verwendet, gibt es keine Möglichkeit festzustellen, ob Sie mit dem echten Google.com oder einer betrügerischen Website verbunden sind, die Sie austricksen und Ihr Passwort stehlen soll. Beispielsweise könnte ein bösartiger WLAN-Hotspot Personen auf diese Art von Betrüger-Websites umleiten, während sie mit dem öffentlichen WLAN verbunden sind.

(Technisch gesehen verifiziert dies nicht die Identität sowie Extended Validation (EV)-Zertifikate. Es ist jedoch besser als nichts!)

HTTPS bietet auch andere Vorteile. Mit HTTPS kann niemand den vollständigen Pfad der von Ihnen besuchten Webseiten sehen. Sie können nur die Adresse der Website sehen, zu der Sie eine Verbindung herstellen. Wenn Sie also auf einer Seite wie example.com/medical_condition über einen medizinischen Zustand lesen, kann selbst Ihr Internetdienstanbieter nur sehen, dass Sie mit example.com verbunden sind – nicht, über welchen medizinischen Zustand Sie gerade lesen . Wenn Sie Wikipedia besuchen, können Ihr ISP und alle anderen nur sehen, dass Sie Wikipedia lesen, nicht das, worüber Sie lesen.

Sie könnten erwarten, dass HTTPS langsamer ist als HTTP, aber Sie liegen falsch. Entwickler arbeiten an neuen Technologien wie HTTP/2 um Ihr Surfen im Internet zu beschleunigen, aber HTTP/2 ist nur für HTTPS-Verbindungen zulässig. Dadurch ist HTTPS schneller als HTTP.

Warum Websites „nicht sicher“ sind, wenn sie nicht verschlüsselt sind

Chrome 68 zeigt auf HTTP-Sites die Meldung «Nicht sicher» an.

Traditionelles HTTP ist in die Jahre gekommen. Aus diesem Grund wird in Chrome 68 beim Besuch einer unverschlüsselten HTTP-Site die Meldung «Nicht sicher» in der Adressleiste angezeigt. Zuvor zeigte Chrome nur ein informatives „i“ in einem Kreis. Wenn Sie auf den Text «Nicht sicher» klicken, sagt Chrome «Ihre Verbindung zu dieser Website ist nicht sicher».

Chrome sagt, dass die Verbindung nicht sicher ist, da keine Verschlüsselung zum Schutz der Verbindung vorhanden ist. Alles wird im Klartext über die Verbindung gesendet, was bedeutet, dass es anfällig für Schnüffeln und Manipulationen ist. Wenn Sie private Informationen wie ein Passwort oder Zahlungsinformationen in eine solche Website eingeben, könnte jemand sie ausspionieren, während sie über das Internet reist.

Die Leute können auch die Daten sehen, die die Website an Sie sendet. Selbst wenn Sie nur im Internet surfen, können Lauscher genau sehen, welche Webseiten Sie gerade ansehen. Ihr Internetdienstanbieter würde auch genau wissen, welche Webseiten Sie sich ansehen, und könnte diese Informationen zur Verwendung bei der Anzeigenausrichtung verkaufen. Andere Personen im öffentlichen WLAN im Café können auch sehen, was Sie sehen.

Eine unverschlüsselte Website ist auch anfällig für Manipulationen. Wenn sich jemand zwischen Ihnen und der Website befindet, könnte er die Daten ändern, die die Website an Sie sendet, oder die Daten, die Sie an die Website senden, ändern und einen Man-in-the-Middle-Angriff ausführen. Dies kann beispielsweise auftreten, wenn Sie einen öffentlichen WLAN-Hotspot verwenden. Der Betreiber des Hotspots könnte Ihr Surfverhalten ausspionieren und persönliche Daten erfassen oder den Inhalt der Webseite ändern, bevor er Sie erreicht. Beispielsweise könnte jemand Malware-Download-Links in eine legitime Download-Seite einfügen, wenn diese Download-Seite über HTTP statt über HTTPS gesendet wurde. Sie könnten sogar eine gefälschte betrügerische Website erstellen, die vorgibt, eine legitime Website zu sein – wenn die legitime Website kein HTTPS verwendet, gibt es keine Möglichkeit zu bemerken, dass Sie mit einer gefälschten und nicht mit der echten verbunden sind.

Warum hat Google diese Änderung vorgenommen?

Chrome 67 zeigt beim Anzeigen von HTTP-Sites nur ein informatives „i“ in einem Kreis an.

Google und andere Webunternehmen, einschließlich Mozilla, führen eine langfristige Kampagne durch, um das Web von HTTP auf HTTPS umzustellen. HTTP gilt heute als veraltete Technologie, die Websites nicht verwenden sollten.

Ursprünglich verwendeten nur wenige Websites HTTPS. Ihre Bank und andere sensible Websites würden HTTPS verwenden, und Sie würden auf eine HTTPS-Seite weitergeleitet, während Sie sich mit einem Passwort bei Websites anmelden und Ihr eingeben Kreditkarte Nummer. Aber das war es.

Damals kostete die Implementierung von HTTPS für Website-Besitzer etwas Geld, und sichere HTTPS-Verbindungen waren langsamer als HTTP-Verbindungen. Die meisten Websites verwendeten nur HTTP, aber das ermöglichte das Ausspähen und Manipulieren der Verbindung. Dies machte die Nutzung öffentlicher WLAN-Hotspots riskant.

Um Datenschutz, Sicherheit und Identitätsprüfung zu gewährleisten, wollten Google und andere das Web auf HTTPS umstellen. Sie haben dies in vielerlei Hinsicht getan: HTTPS ist dank neuer Technologien jetzt noch schneller als HTTP, und Website-Besitzer können kostenlose SSL-Zertifikate zur Verschlüsselung ihrer Websites von der gemeinnützigen Organisation erhalten Lass uns verschlüsseln. Google bevorzugt Websites, die HTTPS verwenden, und bewirbt sie in den Google-Suchergebnissen.

75 % der in Chrome unter Windows besuchten Websites verwenden jetzt HTTPS Transparenzbericht von Google. Es ist jetzt an der Zeit, den Schalter umzulegen und Benutzer vor HTTP-Websites zu warnen.

Nichts hat sich geändert – HTTP hat immer noch die gleichen Probleme wie immer. Aber genug Websites sind auf HTTPS umgestiegen, sodass es an der Zeit ist, Benutzer vor HTTP zu warnen und Website-Besitzer zu ermutigen, nicht länger mit den Füßen zu ziehen. Die Umstellung auf HTTPS wird das Web schneller machen und gleichzeitig die Sicherheit und den Datenschutz verbessern. Es macht auch öffentliche WLAN-Hotspots sicherer.