Google / Henning Rosenhagen 23. August 2017

Outing von unsicheren Seiten: Google Chrome im Praxistest

Neues von Google: Der Oktober 2017 könnte für so manchen Website-Betreiber eine Überraschung bereithalten. User des Browsers „Google Chrome“ sollen auf unsichere http-Übertragungen noch deutlicher hingewiesen werden.

Welche Konsequenzen das für Ihre Website haben kann und wie Sie am besten reagieren, erfahren Sie in unserem neuesten Blogbeitrag!

Mehr Sicherheit beim Surfen

Die Entwickler von „Google Chrome“ haben sich für das Jahr 2017 auf die Fahnen geschrieben, die Web-Sicherheit zu verbessern. Ein großer Schritt in diese Richtung dürfte die Hervorhebung von nicht vorhandener Verschlüsselung sein: Als erster Browser mit großem Marktanteil sollen dem User von Google Chrome unverschlüsselten Websites als „unsicher“ angezeigt werden. Gab es herkömmlich in den meisten Webbrowsern keine besondere Kennzeichnung unsicherer Übertragungen, so erhofft sich Google durch die Neuerungen Nutzer stärker sensibilisieren zu können. Insbesondere bei Zahlungsprozessen im Online-Handel oder der Eingabe von Log-In Daten kommt das Update dem Kunden zu Gute.

Dieses Vorhaben ist bereits seit April angekündigt und wird im Oktober mit der geplanten Version 62 des Browsers umgesetzt – dank Auto-Update automatisch und mit rasanter Verbreitung. Derzeit werden vom Browser noch nur jene unverschlüsselte Seiten bemängelt, die bspw. Passworteingaben erlauben, ab Oktober jedoch sollen die Meldung ausgeweitet werden. Wie wird dies genau aussehen und wie wird sich die Änderung im Alltag auswirken?

„Not secure“ selbst ausprobieren

Google Chrome bietet in den internen Settings bereits jetzt eine Einstellungsmöglichkeit für die Behandlung von HTTP-Seiten. Diese kann unter der Adresse “chrome://flags/#mark-non-secure-as” aufgerufen werden. Die normale Chrome-Version bietet dem Interessierten hier zur Zeit nur die Option, alle HTTP-Seiten aktiv als “Gefährlich” zu markieren:

Dies kommt nicht von ungefähr: Unverschlüsselte Seiten zur absoluten Ausnahme im Web zu machen, ist das schlussendliche Ziel der von Google getragenen Initiative.

In der “Canary” genannten Version von Google Chrome stehen zukünftige Features bereits früher zur Verfügung (dafür finden sich hier aber auch weitaus mehr Programmfehler).
Die derzeitige Canary-Version entspricht Google Chrome in der kommenden Version 62, in der auch die Behandlung von HTTP-Seiten standardmäßig geändert werden wird. Hier stehen weitere Varianten in den Einstellungen zur Auswahl:

http-chrome-icognitomode

Die markierte Einstellung entspricht den ab Oktober angekündigten Änderungen und dürfte ab dann der Default werden.

Panik nein, aber Handlungsbedarf für Webmaster

Da die verschiedenen “Warnstufen” des Browsers schwer zu unterscheiden sind, ist es für Webseitenbetreiber durchaus empfehlenswert, den kommenden Wechsel in der Behandlung unverschlüsselter Seiten selbst einmal auszuprobieren – die Berichte im Internet waren hier zum Teil nicht sehr genau, sodass viele Webmaster sich unnötige Sorgen machen. Richtig ist:

  • Bildschirmfüllende Fehlermeldungen (etwa wie bei ungültigen SSL-Zertifikaten) wird es nicht geben.
  • HTTP-Seiten sind natürlich weiterhin “erlaubt”. Die Benutzer werden jedoch mit einem dezent gehaltenen Ausrufezeichen auf das Fehlen der Verschlüsselung hingewiesen.
  • Rote Signalfarbe o. ä. kommt nicht zum Einsatz.
  • Erst wenn Dateneingaben durch den Benutzer erfolgen, wird der Schriftzug “Nicht sicher” ergänzt. Das ist aber nicht auf Benutzernamen oder Passwörter beschränkt, bspw. genügt hierzu auch ein Suchfeld.
  • Ist der Benutzer im Inkognito-Modus unterwegs, wird der Maßstab höher gesetzt. Hier wird der Schriftzug bereits beim Aufruf einer unverschlüsselten Seite angezeigt, ohne dass Daten eingegeben werden müssen.

Fazit

Mit dem geplanten Update von Google Chrome schafft der Internetgigant eine höhere Transparenz bei unsicheren Übertragungen. Höhere Sensibilität für sicheres Surfen erhöhen die Ansprüche auf vertrauensvollen Umgang mit sensiblen Daten. Sollten Sie über kommerzielle Angebote verfügen, besteht kein Grund zur Panik. Dennoch empfehlen wir, mit der Einführung der HTTPS-Verschlüsselung nicht zu lange zu warten, wenn Sie das Vertrauen der Besucher erhalten wollen: Das Internet steuert in voller Fahrt auf „Verschlüsselung überall“ zu.