Google: Chrome will HTTPS first einführen

Google Chrome-Browser. (Foto: Shutterstock)
Bislang versucht der Browser Chrome standardmäßig, zuerst die unverschlüsselte HTTP-Variante einer eingetippten Domain zu öffnen. Das soll sich in einer zukünftigen Version ändern. So soll der Browser in Zukunft nach der Eingabe von beispielsweise t3n.de direkt die HTTPS-Variante der Seite aufrufen. Sollte eine Website keine TLS-Verschlüsselung unterstützen, versucht der Browser erst in einem zweiten Schritt, die HTTP-Variante zu öffnen. Zuerst hatte das Blog Ghacks darüber berichtet.
Die Umstellung ist durchaus angebracht, setzt doch mittlerweile ein Großteil der Websites und Dienste im Internet die TLS-Verschlüsselung ein. Entsprechend wird die Omnibox genannte URL- und Suchleiste in Googles Chrome-Browser auch standardmäßig TLS verwenden. Google nennt das „aktualisierte HTTPS-Navigationen“ (Upgraded HTTPS Navigations).
Ein entsprechender Commit befindet sich bereits im Chromium-Gerrit und somit im Quellcode von Chromium, der freien Variante des Chrome-Browsers, auf die er aufbaut. Die Änderung dürfte mit einer der nächsten Chrome-Versionen veröffentlicht werden. Zudem dürfte es von den ebenfalls chromium-basierten Browsern Brave, Vivaldi, Opera und Microsoft Edge übernommen werden.
Der Browser-Konkurrent Firefox aus dem Hause Mozilla ist kürzlich noch einen Schritt weiter gegangen und bietet eine Option, nur noch TLS-verschlüsselte Websites zu öffnen. In den grafischen Einstellungen wird diese Option seit Firefox 83 angeboten. Zuvor war es bereits möglich, sie in den Experteneinstellungen (about:config) zu aktivieren. Zudem wurden die alten TLS-Protokolle TLS 1.0 und 1.1 mit Version 78 entfernt. Das hätte eigentlich schon Anfang letzten Jahres geschehen sollen, wurde jedoch mit Verweis auf die Corona-Pandemie auf Ende letzten Jahres verschoben.
Autor des Artikels ist Moritz Tremmel.
Na endlich. Es wundert mich schon lange, warum heutzutage Browser nicht längst zuerst HTTPS versuchen und HTTP nur als Fallback nutzen.
Bislang war es nur über HSTS möglich, nach dem ersten HTTP-Aufruf nur noch per HTTPS zu kommunizieren oder (bei kompatiblen Browsern) dies bereits ab des ersten Aufrufs zu tun.
Mal davon abgesehen, dass dies einen kleinen (ja ok, sehr kleinen) Performanceschub gibt, verhindert das dann auch endlich, dass zumindest der erste/manuell aufgerufene Pfad für Dritte sichtbar ist.