Ab Januar wird Google HTTP-Seiten als nicht sicher deklarieren

9 September 2016

Google hat angekündigt, Webseiten, die vertrauliche Informationen ohne HTTPS verarbeiten, ab Januar 2017 in Chrome als „nicht sicher“ zu markieren. Das ist Teil der Zielsetzung von Google, HTTPS als neuen Standard zu übernehmen.

Was genau wird sich ändern?

Die Sicherheitsindikatoren wurden in der aktuellen Version von Chrome (Version 53) bereits angepasst, um Besucher noch deutlicher über die (fehlende) Sicherheit einer Verbindung zu einer Website zu informieren. Bei einer nicht sicheren Verbindung wird eine neutrale Mitteilung angezeigt, wobei eine Informations-Schaltfläche (bezeichnet mit „i“) hinzugefügt wurde. In Version 56 wird Google noch einen Schritt weiter gehen und den Text "Nicht sicher" hinzufügen. Die Abbildung unten zeigt, wie eine Website ohne SSL heute aussieht und wie sie ab 2017 angezeigt wird.

In Version 56 werden nur noch HTTP-Seiten, die vertrauliche Informationen wie Passwörter und Kreditkarteninformationen verarbeiten, eine Meldung erhalten. Langfristig beabsichtigt Google, diese Meldung für alle HTTP-Webseiten anzeigen, auch die ohne auszufüllende Formulare. Diese Meldung wird mit ihrer roten Farbe und der Abbildung eines Warndreiecks viel deutlicher erkennbar sein.

Über eine Änderung in den Einstellung des Chrome-Browsers ist es schon jetzt möglich zu sehen, wie HTTP demnächst dargestellt werden: über chrome://flags, auf „Mark non-secure origins as non-secure Mac, Windows, Linux, Chrome OS, Android” gehen und die Option „Mark non-secure origins as non-secure” auswählen.

Warum müssen diese Änderungen implementiert werden?

Google hat sich schon eine ganze Weile für eine verstärkte Nutzung der SSL-Zertifikate eingesetzt, da dies zu einem sicheren Internet führt. Die Nutzung von HTTPS auf einer Website zum Beispiel ist bereits seit einigen Jahren ein Faktor für das Ranking von Webseiten in den Suchergebnissen von Google. Google versucht auch, die Nutzung veralteter Zertifikate zu verhindern.

Google behauptet, dass ein großer Teil des Internet-Traffic teilweise auch dank dieser Maßnahmen heute über HTTPS läuft und dass der Einsatz von HTTPS weiterhin zunimmt. Chrome ist heute der am meisten genutzte Webbrowser und mehr als die Hälfte der Chrome-Desktopaufrufe erfolgt bereits über HTTPS. Seit der Veröffentlichung des Berichts „HTTPS auf Top-Webseiten“ im Februar dieses Jahres haben zwölf neue Webseiten der Top 100 HTTPS als neuen Standard übernommen.

Google hofft, dass auch andere Browser-Hersteller diese neuen Icons übernimmt. Mozilla wird seinen Browser Firefox vermutlich in dieselbe Richtung entwickeln.