Google Chrome will ab September 2018 das https-Schloss nicht mehr grün färben, später eventuell entfernen - bei Eingaben auf http-Seiten wird Warntext rot

17.05.2018 23:50:37, Jürgen Auer, keine Kommentare

Das Internet wandelt sich immer mehr dahingehend, daß Zugriffe auf Websites verschlüsselt durchgeführt werden. Seit dem Start von Letsencrypt wächst die Zahl der verschlüsselten Websites deutlich, der Gesamttraffic ist inzwischen überwiegend verschlüsselt.

Das führt nun dazu, daß Google die Anzeige von verschlüsselten und unverschlüsselten Websites erneut "überarbeiten" möchte.
.

Evolving Chrome's security indicators

https://blog.chromium.org/2018/05/evolving-chromes-security-indicators.html

.
> Users should expect that the web is safe by default, and they’ll be warned when there’s an issue. Since we’ll soon start marking all HTTP pages as “not secure”, we’ll step towards removing Chrome’s positive security indicators so that the default unmarked state is secure.

Nutzer sollten davon ausgehen, daß Websites sicher per default seien. Und sie sollen gewarnt werden, wenn das nicht der Fall ist. Unsichere Websites sollen in Kürze (ab Chrome 68, aktuell Chrome 66) mit "not secure" bezeichnet werden. Zusätzlich soll aber der positive Hinweis auf eine verschlüsselte Website entfallen. Also das Prinzip: Keine Markierung = sicher.

Ein Bildschirmphoto in dem Blogbeitrag zeigt, wie das aussehen soll:

Aktuell wird bei https-Seiten ein grünes Schloß und das Wort "Secure" angezeigt.

Ab Chrome 69 / September 2018 entfallen Grünfärbung und das Wort "Secure". Eventuell soll später auch das Schloß entfallen.

Die "not secure" - Seiten (alles, was per http erreichbar ist) werden ja schon in Kürze mit einem i und einem schwarzen Text "Not secure" gekennzeichnet.

Tippt man in so einer Seite etwas ein, dann soll das umspringen: Das i wird zu einem Warndreieck, dieses und der Text werden rot.

In dem Blogbeitrag gibt es ein zweites Bild, das als animiertes Gif zeigt, wie das aussehen wird.

Eine Vorstufe davon kann man bereits jetzt im Chrome beobachten.

Ruft man die - nicht verschlüsselte - Startseite der FAZ ( www.faz.net ) auf, dann gibt es nur ein i neben der Adresse. Aktiviert man die Sucheingabe und tippt etwas in die Suche ein, wird rechts neben dem i "Nicht sicher" eingeblendet.

Da "zuckt" der Bildschirm bei der ersten Eingabe und weist den Nutzer damit darauf hin, daß das, was er da eingibt, womöglich von Dritten mitgelesen werden kann.

Der Hinweis ist treffend:

> Previously, HTTP usage was too high to mark all HTTP pages with a strong red warning, but in October 2018 (Chrome 70), we’ll start showing the red “not secure” warning when users enter data on HTTP pages.

Früher gab es noch zuviele http-Seiten, da sei es noch kein Thema gewesen, all diese Seiten mit einer roten Warnung zu versehen. Aber ab Oktober 2018 wird das bei allen Eingaben gemacht.

Sprich:

> We hope these changes continue to pave the way for a web that’s easy to use safely, by default. HTTPS is cheaper and easier than ever before, and unlocks powerful capabilities -- so don’t wait to migrate to HTTPS!

Es geht damit weiter, daß https der Normalzustand werden soll und http möglichst ausgemustert wird.

Die Umstellung im Juli / Chrome 68:

Google macht Ernst - ab Juli 2018 werden alle http-Websites als unsicher markiert - auch jene ohne Passworteingabe - Testmöglichkeit für Mixed Content

https://blog.server-daten.de/de/2018-02-10/Google-macht-Ernst---ab-Juli-2018-werden-alle-http-Websites-als-unsicher-markiert---auch-jene-ohne-Passworteingabe---Testmoeglichkeit-fuer-Mixed-Content-172

PS: Ich bin ja gespannt, wann die FAZ, Spiegel und noch ein paar andere bis heute unverschlüsselte Nachrichtenportale umstellen. Der Tagesspiegel hat im Februar endlich umgestellt, grade sehe ich, daß auch die ZEIT nun per https erreichbar ist. So allmählich gehen die großen Testkandidaten für http-Seiten aus. Aber sehr viele kleine Websites sind eben weiterhin unverschlüsselt.

*
* (wird nicht angezeigt)
Die Erläuterungen zum Datenschutz habe ich gelesen und stimme diesen zu.