Weitere Warnungen bei ungesicherte Datenverkehr in Google Chrome

24 Oktober 2017

Ab Chrome Version 62, warnt Google noch strenger vor Websites ohne SSL-Zertifikat. Seit Januar dieses Jahres warnt Chrome bereits vor Webseiten, die persönliche Daten wie Passwörter und Kreditkartendaten über eine unverschlüsselte HTTP-Verbindung verarbeiten. Ab diesem Monat wird vor alle ungesicherten Felder gewarnt.

Welche Warnungen gab es schon?

Ab Chrome Version 53 wurden die Sicherheits-Indikatoren angepasst. Ab Chrome Version 56, wird man aktiv benachrichtigt, sobald eine Webseite, auf der man Daten angeben kann, nicht mit einem SSL-Zertifikat geschützt ist. Dies wird mit einem 'i' in der URL-Leiste angezeigt, auf die man klicken kann um weitere Informationen zu erhalten. Laut Google haben diese Anpassungen viel Einfluss auf das Besucherverhalten: Die Angabe von Passwörtern und Kreditkartendaten über eine ungesicherte HTTP-Verbindung ist seit dem um 23% zurückgegangen.

Welche Warnungen gibt es jetzt?

Die Warnungen werden in Chrome Version 62 erweitert, die am 17. Oktober verfügbar ist. Folgendes wird im SSL Bereich geändert:

  • Es wird jetzt standardmäßig vor allen Feldern gewarnt, die über HTTP erreichbar sind. Alle Seiten ohne HTTPS-Verbindung zeigen ein 'i' an. Wenn man etwas in ein ungesichertes Feld eingeben möchte, wechselt die Warnung zu ‘i’ und ‘Unsicher’.
  • Im Inkognito-Modus von Chrome wird die Warnung ‘Unsicher’ sofort auf allen HTTP-Seiten angezeigt, auch wenn man keine Daten eingeben möchten (siehe Bild unten rechts).

Google Chrome 62 warnings

Durch Anklicken der Warnmeldung zeigt der Browser den folgenden Warnhinweis an:

Chrome 62 waarschuwingstekst

Es wird auch eine Warnungen be FTP-Datenverkehr angezeigt

Im letzten Monat kündigte Google an, dass Google ab der Chrome Version 63, die für Dezember 2017 geplant ist, auch auf FTP-Websites die ‘Unsicher’ Warnung anzeigen wird. Dies war ursprünglich nicht Teil des Plans, wurde aber hinzugefügt, da der FTP-Verkehr nicht verschlüsselt ist. FTP, kurz für File Transfer Protocol, ist ein Netzwerkprotokoll, das von 1971 stammt und für den Austausch von Dateien zwischen Servern und Clients verwendet wird. Wie HTTP kann FTP mit SSL gesichert werden und wird dann zu FTPS. Da FTP nicht häufig verwendet wird, unterstützen nur wenige Browser FTPS. Chrome unterstützt hat auch keine FTPS Unterstützung.

Google erwägte die Unterstützung von FTP ganz zu stoppen, weil das Protokoll so wenig verwendet wird und unsicher ist, aber als Alternative wird es jetzt eine Warnung zeigen. Der Rat für FTP-Benutzer ist die Umstellung auf HTTPS für öffentliche Downloads.

Chrome FTP warning

Warum all diese Änderungen?

Google hat schon lange eine klare Haltung zu einem sichereren Internet - mit dem Ziel eines vollständig verschlüsselten Internets für so viel Privatsphäre und Sicherheit wie möglich. Der Ausgangspunkt ist, dass HTTPS nicht nur von Webshops und Banken, sondern von allen Websites verwendet werden sollte. Auch wenn es sich nur um ein einfaches Kontaktformular, Login oder Anmeldeformular handelt. Goole stimuliert die HTTPS Benutzung durch die ausschließliche Verwendung von HTTPS bei Ihre eigenen Diensten, als auch durch die Hervorhebung der SSL Verwendung großer Websites, und des Belohnen bei Verwendung von HTTPS und Bestrafung bei Verwendung von HTTP.

Zum Beispiel, begannen Sie in 2014 den beliebten e-Mail-Service Gmail nur über eine sichere HTTPS-Verbindung für alle Gmail Benutzer anzubieten und zeitgleich wurde die Verwendung eines SSL-Zertifikats auf der gesamten Website als Ranking Faktor in die Google Suche mit einbezogen.

Wie verhindern Sie Warnungen auf Ihrer Website?

Um Warnungen in Chrome zu vermeiden, benötigen Sie eine HTTPS-Verbindung. Momentan unterscheidet Google nicht zwischen den verschiedenen Arten von SSL-Zertifikaten, so dass Sie zur Vermeidung der Warnungen bereits ein günstiges SSL-Zertifikat ohne Firmendaten ausreichend ist. Bei der korrekten Einrichtung Ihres SSL-Zertifikates, profitieren Sie auch von einem höheren Ranking in den Google-Suchergebnissen.

Zusätzlich zu einer verschlüsselten Verbindung ist die Authentifizierung eine wichtige Funktion eines SSL-Zertifikates - dies gilt für alle öffentlichen und vor allem für kommerzielle Websites. Mit dem Zertifikat-Assistenten finden Sie das richtige Zertifikat für jede Anwendung.

SSLCheck

SSLCheck überprüft, ob Ihr Zertifikat ordnungsgemäß auf Ihrem Server installiert ist und ob es potenzielle Probleme gibt.