Chromium: HTTP-Verbindungen sollen in Zukunft als unsicher eingestuft werden

chrome 

Bis vor wenigen Jahren gab es die SSL-Verschlüsselung über HTTPS nur bei Webseiten die sensible Daten vom Nutzer übertragen oder enthalten haben, doch in der letzten Zeit wurden auch immer mehr „normale“ Webseiten auf die sichere Verbindung umgestellt. Google kämpft schon seit einiger Zeit dafür, dass die verschlüsselte Verbindung zum Standard wird, und wird dafür schon bald einige Schritte unternehmen: Ein neuer Plan sieht nun vor, dass der Chromium-Browser in Zukunft alle nicht-verschlüsselten Verbindungen als unsicher einstufen soll.


Schon vor einigen Monaten hatte Google angekündigt, dass die HTTPS-Verbindung bald zu einem wichtigen Ranking-Faktor in der Websuche wird und diese in Zukunft deutlich vor den „normalen“ Webseiten stehen sollen. Mit dieser Ankündigung hat Google zumindest schon einmal viele Webmaster ins Grübeln gebracht, spätestens bei der Umsetzung dürften dann auch viele auf eine solche Verbindung umstellen. Im nächsten Schritt soll nun offenbar auch der Browser eine wichtige Rolle in diesem Langzeitprojekt spielen.

Security

Das Open Source-Projekt Chromium, auf dem der Chrome-Browser basiert, plant nun ebenfalls eine Kampfansage an unverschlüsselte Verbindungen: Diese sollen in Zukunft als unsicher eingestuft und der Benutzer vor dem Besuch gewarnt werden. In der Übergangszeit sollen HTTP-Verbindungen noch als „zweifelhaft“ eingestuft werden, bevor man dann zu einem späteren Zeitpunkt auf „nicht sicher“ umstellt. Betroffen sind davon aber nicht nur HTTP-Verbindungen, sondern auch falsch konfigurierte HTTPS-Verbindungen, die natürlich ebenso wenig Schutz bieten.

Bisher funktioniert das System genau in die andere Richtung: HTTPS-Verbindungen werden in den meisten Browsern mit einem kleinen Schloss symbolisiert, was von vielen Nutzern gern übersehen wird bzw. sie gar nicht erst interessiert. Selbst bei sensiblen Daten wie Online-Banking oder Behörden-Seiten achtet der Großteil der Nutzer nicht mehr auf dieses Symbol und verlässt sich einfach auf die einzelne Webseite. Dieses blinde Vertrauen ist natürlich leichtsinnig, aber daran könnten wohl nur solche drastischen Maßnahmen etwas ändern. Möglicherweise könnte es aber auch falsche Panik unter den Nutzern verbreiten.



Einen Zeitplan zur Einführung hat man nicht genannt, auch ob es dieses „Feature“ schon bald auch in Google Chrome geben wird ist derzeit wohl noch keine beschlossene Sache. Ob nun aber tatsächliche jede private Homepage oder jede andere Webseite ohne persönliche Daten und ohne Datenübermittlung verschlüsselt werden muss sei mal dahingestellt. Aber spätestens wenn der Chrome-Browser einen Nutzer vor dem Besuch der eigenen Webseite warnt, dürften viele Webmaster umstellen.

[heise]