HTTPS: Googles Werbeanzeigen werden ab Ende Juni verschlüsselt

adwords 

Nicht erst seit dem NSA-Skandal setzt Google auf verschlüsselte Verbindungen, hat aus diesem Anlass aber den Turbo eingelegt: Nahezu alle Google-Angebote sind mittlerweile über verschlüsselte Verbindungen erreichbar, doch bisher gab es eine große Ausnahme: Die Anzeigen innerhalb des eigenen Werbenetzwerks. Ab dem 30. Juni möchte man nun auch alle Anzeigen von AdSense bis AdWords über HTTPS-Verbindungen ausliefern und damit auch in diesem Bereich den Nutzern eine erhöhte Sicherheit bieten.


Viele Google-Dienste mit vielen persönlichen Daten wie etwa GMail sind schon seit vielen Jahren verschlüsselt – den eigenen Mail-Dienst hat man schon seit 2008 auch über eine HTTPS-Verbindung angeboten. Auch die Websuche oder YouTube werden „vom Großteil der Nutzer“ nur noch über verschlüsselte Verbindungen benutzt und sorgen so für mehr Sicherheit. Doch die in Millionen von Webseiten eingebetteten Werbeanzeigen aus dem Google Display Network waren bisher die große Ausnahme.

Security

Laut dem jetzt von Google veröffentlichten Zeitplan sollen alle Werbeanzeigen ab dem 30. Juni diesen Jahres auch verschlüsselt ausgeliefert werden. Das betrifft sowohl die Anzeigen auf dritten Webseiten über AdSense, die Einblendungen in der Websuche über AdWords und auch alle umfassenden Anzeigen über das DoubleClick-Netzwerk. Auch Videoanzeigen auf dem Desktop oder dem Smartphone die über das Display Network ausgeliefert werden, werden ab Ende Juni standardmäßig über HTTPS ausgeliefert.

Die Umstellung betrifft auch die Werbetreibenden, die ab diesem Datum ebenfalls ihre Anzeigen über eine HTTPS-Verbindung zur Verfügung stellen können. Damit ist der gesamte Weg vom Upload über die Bereitstellung bis zur Auslieferung der Anzeigen verschlüsselt verfügbar und schafft mehr Sicherheit. Zwar werden über Werbeeinblendungen eigentlich keine persönliche Daten übertragen, von den Cookies einmal abgesehen, aber dennoch möchte Google auf lange Sicht die gesamte Kommunikation aller Angebote mit dem Nutzer über gesicherte Verbindungen umstellen.



Da Google selbst HTTPS praktisch schon zum Standard erklärt hat und mittlerweile in frühen Chrome-Versionen vor unverschlüsselten Verbindungen warnt muss man natürlich mit gutem Beispiel vorangehen. Schon seit langer Zeit unterstützt man die Initiative HTTPS Everywhere und hat sich dies auch selbst auf die Fahnen geschrieben – aber natürlich muss man den Admins und Betreibern noch Zeit dafür geben um tatsächlich endgültig vor unverschlüsselten Verbindungen zu warnen. Auch Google hat Jahre für die Umstellung gebraucht…

» Ankündigung im AdWords-Blog



Teile diesen Artikel:

comment ommentare zur “HTTPS: Googles Werbeanzeigen werden ab Ende Juni verschlüsselt

  • Zwar werden über Werbeeinblendungen eigentlich keine persönliche Daten übertragen, von den Cookies einmal abgesehen, aber dennoch möchte Google auf lange Sicht die gesamte Kommunikation aller Angebote mit dem Nutzer über gesicherte Verbindungen umstellen.

    Irgendwie klingt das, als wäre Euch klar, dass Google richtig Gas gibt und richtig Arbeit investiert, um das anzubieten, ihr aber keine echte Ahnung habt, warum die das wohl machen sollten.

    Da Euer Zugang zur Google Websuche anscheinend kaputt ist, und ihr die IT News der letzten Monate übersprungen zu haben scheint, möchte ich Euch das gerne skizzieren.

    1: Unsichere Inhalte über sichere Verbindungen
    Wenn eine Webseite mit SSL aufgerufen wird, aber dann Inhalte über unsichere – nicht SSL verschlüsselte – Verbindungen nachlädt, dann zeigt jeder Browser eine Warnung vor unsicheren Inhalten. Diese Warnung ist zurecht unprofessionell und verwirrt Besucher und deswegen haben viele Webseiten, die sich durch Werbung finanzieren, gescheut, SSL zu aktivieren.

    2: Veränderung der Daten auf dem Transportweg
    Wenn man eine Leitung anzapfen kann, kann man nicht nur unverschlüsselte Daten abgreifen und „lauschen“, sondern man ist an dieser Stelle auch in der Lage, Daten auf dem Weg zu verändern. Ein Werbebanner hat kaum persönliche Daten, aber ich denke, die wenigsten würden es lustig finden, wenn statt dem Werbebanner Schadsoftware kommt, die eine aktuelle Lücke in Browsern ausnutzt und eine Trojaner installiert. DAS ist das Sicherheitsrisiko, das mit verschlüsselter Werbung und HTTPS Everywhere vermieden werden soll.

  • Ist Google eigentlich in Zertifikatsherausgeber investiert? Es ist schon erstaunlich wie aggressiv Google die Leute nun zu https zwingt. Ich habe auch ein Zertifikat gekauft, weil Google noch sonst langfristig in den Suchergebnissen abstraft. Ich habe dazu das Zertifikat genommen was mein Hoster Hetzner für meine Domain angeboten hat und nun habe ich wohl zu wenig bezahlt, den Google sagt nun nicht nur, dass ich ein Zertifikat brauche, nein es muss sich besonders stark verschlüsselt sein:
    https://www.maxrev.de/chrome-ssl-https-meldung-oeffentlichen-eintrag-veraltete-sicherheit-t352159.htm

    Ich frage mich ernsthaft wie man das alles finanzieren soll.

    In meinen Augen will Google damit nur erreichen, dass alle Seitenbetreiber identifiziert werden können und so am Ende Linknetzwerke viel zu teuer werden. Oder es sind eben finanzielle Interessen. Ich für meinen Teil verstehe jedenfalls nicht warum kein Browser self-signed Zertifikate einfach importierbar macht. Und ich verstehe nicht warum es kein „kostenloses Angebot“ geben kann. Z.b. dadurch, dass sich mehrere Webmaster zusammen tun und die zwei popeligen Server bezahlen, die das Zertifikat generieren.

  • Hallo,

    Zertifikat ist nicht Verschlüsselungsstärke. Du selbst generierst Deinen Schlüssel und legst dort die Verschlüsselungsstärke fest. Ob ein schwacher oder ein starker Schlüssel dann mit einem Zertifikat unterschrieben wird, ist davon unabhängig.

    Darüberhinaus gibt es bereits kostenlose SSL Zertifikate (http://www.startssl.org/) und der Markt wird zur Zeit sogar richtig angeschoben, die Projekte sind in den Starlöchern (https://letsencrypt.org/)

  • Mir scheint als hätte ich keine Option bei Hetzner die Stärke zu bestimmen oder enthält der Schlüssel selbst die Information dazu wie er verschlüsselt wurde? Also z.B. SHA-1, was Google ja nicht will. Hier ein Screenshot von dem was ich einstellen kann:
    https://www.maxrev.de/2015-04-20-11-28-43-konsoleh-control-panel-bild-435414.htm

    Zu den kostenlosen Vergabestellen: Zu startssl.org such mal nach „startssl not trusted“ und Du findest mehrere Probleme und letsencrypt.org kann ich nicht nutzen, mangels Root-Rechten. Kostenlos bedeutet in dem Bereich ja eigentlich automatisch „wir als Browser-Hersteller vertrauen der Vergabestelle nicht“.

    Und wie gesagt erklärt das nicht, warum man es grundsätzlich so schwer macht selbst signierte Zertifikate zu erlauben. Vorher hatte man Null Sicherheit mit http und sobald man https will ist es so als wollte man die Goldreserven absichern. Mir fehlt da eindeutig was in der goldenen Mitte, wo man nicht gleich die Geldbörse aufmachen oder eben seine personenbezogenen Daten hinterlegen muss. Die Denic weiß bereits, dass ich der Inhaber meiner Domain bin und sonst geht das keinen was an, außer er ist auf meiner Seite und sichtet das Impressum, aber die kann ich ja zumindest teilweise gegen automatisches Auslesen schützen. Bei einem Zertifikat habe ich darauf keinen Einfluss.

    Wenn ich das richtig verstanden habe, wäre DANE wohl genau die Lösung, die ich mir denke:
    https://en.wikipedia.org/wiki/DNS-based_Authentication_of_Named_Entities

    Aber das unterstützt kein Browser?!

Kommentare sind geschlossen.