Google: Chrome will HTTPS first einführen
Google Chrome-Browser. (Foto: Shutterstock)
Bislang versucht der Browser Chrome standardmäßig, zuerst die unverschlüsselte HTTP-Variante einer eingetippten Domain zu öffnen. Das soll sich in einer zukünftigen Version ändern. So soll der Browser in Zukunft nach der Eingabe von beispielsweise t3n.de direkt die HTTPS-Variante der Seite aufrufen. Sollte eine Website keine TLS-Verschlüsselung unterstützen, versucht der Browser erst in einem zweiten Schritt, die HTTP-Variante zu öffnen. Zuerst hatte das Blog Ghacks darüber berichtet.
Die Umstellung ist durchaus angebracht, setzt doch mittlerweile ein Großteil der Websites und Dienste im Internet die TLS-Verschlüsselung ein. Entsprechend wird die Omnibox genannte URL- und Suchleiste in Googles Chrome-Browser auch standardmäßig TLS verwenden. Google nennt das „aktualisierte HTTPS-Navigationen“ (Upgraded HTTPS Navigations).
Ein entsprechender Commit befindet sich bereits im Chromium-Gerrit und somit im Quellcode von Chromium, der freien Variante des Chrome-Browsers, auf die er aufbaut. Die Änderung dürfte mit einer der nächsten Chrome-Versionen veröffentlicht werden. Zudem dürfte es von den ebenfalls chromium-basierten Browsern Brave, Vivaldi, Opera und Microsoft Edge übernommen werden.
Der Browser-Konkurrent Firefox aus dem Hause Mozilla ist kürzlich noch einen Schritt weiter gegangen und bietet eine Option, nur noch TLS-verschlüsselte Websites zu öffnen. In den grafischen Einstellungen wird diese Option seit Firefox 83 angeboten. Zuvor war es bereits möglich, sie in den Experteneinstellungen (about:config) zu aktivieren. Zudem wurden die alten TLS-Protokolle TLS 1.0 und 1.1 mit Version 78 entfernt. Das hätte eigentlich schon Anfang letzten Jahres geschehen sollen, wurde jedoch mit Verweis auf die Corona-Pandemie auf Ende letzten Jahres verschoben.
Autor des Artikels ist Moritz Tremmel.
Bitte beachte unsere Community-Richtlinien
Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.
Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.
Dein t3n-Team
Na endlich. Es wundert mich schon lange, warum heutzutage Browser nicht längst zuerst HTTPS versuchen und HTTP nur als Fallback nutzen.
Bislang war es nur über HSTS möglich, nach dem ersten HTTP-Aufruf nur noch per HTTPS zu kommunizieren oder (bei kompatiblen Browsern) dies bereits ab des ersten Aufrufs zu tun.
Mal davon abgesehen, dass dies einen kleinen (ja ok, sehr kleinen) Performanceschub gibt, verhindert das dann auch endlich, dass zumindest der erste/manuell aufgerufene Pfad für Dritte sichtbar ist.