HTTPS: Seiten ohne Verschlüsselung bekommen unter Chrome ein dickes, rotes „X“ verpasst
Dass Google einen starken Fokus auf die Verschlüsselung von Websites setzt, ist nicht neu. Das US-Unternehmen hat HTTPS schon 2014 zum ein Ranking-Signal erkoren – und betrachtet es als Qualitätsmerkmal einer Seite. Es heißt, dass SSL-Websites in Zukunft in den Suchergebnissen bevorzugt behandelt werden sollen, was Websitebetreiber dazu zwingt, ihre Seiten mit den entsprechenden Protokollen zu versehen. Wann Google den Schalter aber umlegt, ist nicht bekannt.„Google’s intention is to ‚call out‘ HTTP for what it is: ‚UNSAFE‘.“
Was aber bekannt ist: Google beginnt, Nutzer des Chrome-Browsers für das Thema zu sensibilisieren. Auf der Usenix-Enigma-Security-Conference in San Francisco hat die Sicherheitsfirma CloudFlare gezeigt, wie das unter Chrome aussehen wird.
Derzeit werden Websites ohne SSL-Verschlüsselung nur mit einem weißen Blatt in der Adressleiste angezeigt. SSL-verschlüsselte Seiten bekommen ein grünes Vorhängeschloss, mit dem signalisiert wird, dass die Verbindung zur Seite „privat“ und sicher ist. Wenn mit der SSL-Verschlüsselung der besuchten Seite etwas nicht in Ordnung ist, wird ein rotes „X“ angezeigt. Das sollen allerdings künftig auch alle Websites verpasst bekommen, die unverschlüsselt sind.
Parisa Tabriz, Team-Lead des Google-Security-Engineering-Teams hat auf Twitter angekündigt, dass HTTP-Websites in Kürze als das markiert werden, was sie sind: unsicher.
HTTPS in Chrome: So könnt ihr das neue Warnsignal schon nutzen
Das neue Warnsignal für HTTP-Seiten können Chrome-User jetzt schon aktivieren. Hierfür muss nur die Einstellungsseite chrome://flags aufgerufen und zum Punkt „mark-non-secure as“ navigiert werden. Unter diesem Punkt muss „Nicht sicheren Ursprung als nicht sicher markieren“ ausgewählt und der Browser neu gestartet werden. Laut Chrome wird das Warnsignal unter OS X, Windows, Linux, Chrome OS und Android unterstützt.
Die Integration einer SSL-Verschlüsselung in Websites ist dank Let’s Encrypt nicht mehr kostspielig, dennoch ist es insbesondere für größere (News-)Portale, die sich durch Werbung finanzieren, kein leichtes Unterfangen eine entsprechende Verschlüsselung zu integrieren. Denn nicht nur die eigene Website muss SSL-Unterstützung bieten, sondern auch beispielsweise die Integrationen der Werbevermarkter.
Hallo …,
endlich mal eine positive Entwicklung bei Google im Sinne des Datenschutzes.
Webseitenbetreiber werden hierdurch bedingt künftig (v)Server administrieren (lassen) müssen.
Oder die sog. Webspace- / Hostinganbieter müssen die (externe) Implementierung betreffender Zertifikate (durch Dritte) vornehmen (lassen).
Ciao, Sascha
Wird dann t3n auch endlich SSL anbieten?
SSL für t3n kommt Zeitgleich mit der modernen Bildergalerie. Das kann aber noch dauern, weil die alte Bildergalerie pro Bild einen Seitenaufruf und damit Werbeeinnahmen bedeutet ;)
Seiten, die keine Formulare bieten, bauchen kein SSL. Mit SSL wären solche Seiten auch nicht sicherer :D
Interessanter Beitrag dazu: http://feller.systems/blog/server-hosting/https-komplettverschluesselung-website-sinnvoll-und-rankingfaktor/
Es gibt doch ein paar Vorteile auch für statische Seiten…
Und wenn man 10 Webseiten hat, braucht man 10 Zertifikate. Das kostet aber schon etwas Geld. Ob sich das für private Webseiten lohnt ?
Bei der privaten Website ist es auch nicht schlimm, wenn diese als „unsicher“ markiert ist.
Mit letsencrypt kostet dich ein Zertifikat gar nichts.
Theoretisch ja, hat ein privater User root Zugriff? Eher nein
Nur kann nicht jeder ohne weiteres (und ohne eigenen Server) letsencrypt einsetzen :/ …
StartSSL.com bietet kostenlose SSL-Zertifikate die von allen modernen Browsern und Smartphones akzeptiert warden: https://www.startssl.com
Hallo Max, Kris und Ralf,
der SSL- / TLS-Handshake nagt ein wenig an der Performance einer Webseite … ggf. liefert t3n(.de) deshalb seine Inhalte nicht via HTTPS aus.
Soweit unbefugte Dritte Datenverkehr abhören / manipulieren möchten ist ihnen dies aufgrund einer verschlüsselten Verbindung i. d. R. nicht möglich.
In diesem Kontext bezieht sich dass nicht lediglich auf sensible (Login-)Daten sondern auch auf die Modifizierung frei verfügbarer (Webseiten-)Daten.
SSL- / TLS-Zertifakte sind (auch) kostenfrei erhältlich; insofern stellen wirtschaftliche Hemmnisse kein haltbares Argument dar.
Ciao, Sascha.
Hallo t3n, sucht ihr noch einen Korrekturleser ;-)?
„SSL-verlüsselte Seiten bekommen…“
Kann mir jemand den Sinn der Verschlüsselung von read-only Websites erklären, bei denen man lediglich Text liest und auf denen keine Transaktionen stattfinden (was bei den allermeisten Websites der Fall ist)?
Hallo joerg.gastmann,
angenommen Sie rufen eine nicht verschlüsselte Webseite (z. B. https://t3n.de) auf, nun könnten angefragte (Webseiten-)Daten von einem ‚unbefugtem Dritten‘, welcher zwischen Ihrer Verbindung (PC) und der Webseite (Server) den (besagten) Datenstrom abfängt (dieser liegt – da unverschlüsselt – im Klartext vor) und (exklusiv für Sie) derart manipuliert sodass Sie beispielsweise eine modifizierte (falsche) Webseite betrachten.
Also im Klartext (erhalten Sie dann) gefälschte Nachrichten, Informationen, usw. !
Ciao, Sascha.