Google macht Ernst - ab Juli 2018 werden alle http-Websites als unsicher markiert - auch jene ohne Passworteingabe - Testmöglichkeit für Mixed Content

10.02.2018 23:42:25, Jürgen Auer, keine Kommentare

Vor 10 und 15 Jahren waren Websites meist noch unverschlüsselt. Da an jede IP-Adresse nur ein Zertifikat gebunden werden konnte, war an einen großflächigen Einsatz von Verschlüsselung nicht zu denken.

Das hat sich seit Server Name Indication (SNI) geändert. Das wurde eigentlich schon 2003 eingeführt. Aber auch Chrome unterstützte das erst ab 2010, Microsoft serverseitig ab Windows 2012. Dementsprechend zögerlich setzten das Websites ein.

Mit dem Start von Letsencrypt Ende 2015 waren zwei Dinge neu: Zum einen konnten SSL-Zertifikate kostenlos erworben werden. Zum anderen gibt es in Form des ACME-Protokolls die Möglichkeit, den Prozess der Ausstellung von Zertifikaten zu automatisieren. Davor war dafür immer Handarbeit notwendig, was den Einsatz ebenfalls beschränkt hat.

Praktisch kann man sagen: Vor SNI war eine großflächige Verschlüsselung gar nicht realisierbar. Vor Letsencrypt war es eine mühsame Handarbeit, so daß dies die Einsatzmöglichkeiten für die großen Massenhoster limitierte.

Inzwischen hat sich das umgedreht: Die Massenhoster bieten Verschlüsselung standardmäßig und kostenlos an. Es dürfte einfacher sein, alle Websites einheitlich verschlüsselt zu betreiben anstatt einen ständigen Mix aus beiden Varianten zu haben.

Nun will Google im Chrome-Browser ab der Version 68 (Juli 2018) alle http-Websites als unsicher markieren.
.

A secure web is here to stay

https://security.googleblog.com/2018/02/a-secure-web-is-here-to-stay.html

.
Da, wo aktuell noch das umgekehrte Ausrufezeichen neben dem Domainnamen steht, soll ab Juli "Not secure" angezeigt werden.

Die aktuelle Datenlage:

> Over 68% of Chrome traffic on both Android and Windows is now protected
> Over 78% of Chrome traffic on both Chrome OS and Mac is now protected
> 81 of the top 100 sites on the web use HTTPS by default

68 % des Chrome-Traffics auf Android und Windows läuft per https ab, sogar 78 % bei Chrome OS und Mac. Und bereits 81 der 100 größten Sites nutzen https als Standardeinstellung.

Ferner soll es bei Lighthouse

https://developers.google.com/web/tools/lighthouse/

in der neuesten Node Cli Version eine Möglichkeit geben, Mixed Content herauszufinden. Etwas, das man immer wieder sieht: Eine Website ist eigentlich verschlüsselt. Aber da sie Bilder, Scripte oder anderes aus nicht verschlüsselten Quellen nachlädt, ist die Sicherheit geschwächt.

Die Sätze

> Chrome’s new interface will help users understand that all HTTP sites are not secure, and continue to move the web towards a secure HTTPS web by default. HTTPS is easier and cheaper than ever before, and it unlocks both performance improvements and powerful new features that are too sensitive for HTTP.

lesen sich wie eine Mission: Nutzer mögen verstehen, daß alle Http-Sites nicht sicher seien. HTTPS soll zum Standard werden. Es ist einfacher als jemals zuvor - weil sich die technischen Grundlagen in den letzten Jahren entsprechend weiterentwickelt haben.

In DE finde ich es etwas verblüffend, daß so einige große Sites, etwa der Spiegel und der Tagesspiegel, bis heute nicht auf https umgestiegen sind. Da es beim Tagesspiegel ein Login gibt, zeigt FireFox schon jetzt immer ein rot durchgestrichenes Schloss an.

Für Unternehmen bedeutet dies, daß sie ihre Websites auf einen Umzug vorbereiten und diesen durchführen sollten.

Persönlich bin ich im letzten Sommer mit meiner Hauptwebsite umgezogen. War etwas Arbeit, aber dann war das erledigt. Wobei ich aktuell noch gekaufte und manuell installierte Zertifikate nutze.

Wobei man auch dazu sagen sollte: Verschlüsselte Websites müssen deshalb nicht vertrauenswürdig sein. Phishing-Sites können durchaus verschlüsselt sein. Letsencrypt hat mit dem ACME-Protokoll und den damit verbundenen Automatisierungen die Verwaltung von Zertifikaten erheblich vereinfacht. Aber das läßt sich nun auch für bedenkliche Websites sehr leicht nutzen.

*
* (wird nicht angezeigt)
Die Erläuterungen zum Datenschutz habe ich gelesen und stimme diesen zu.