Anstieg von HTTPS im Jahr 2017 wird auch für 2018 erwartet

2017 war ein ereignisreiches Jahr für SSL und Online-Sicherheit. Einige Entwicklungen werden auch im kommenden Jahr erhebliche Auswirkungen haben. 2018 verspricht ein aufregendes und dynamisches Jahr zu werden. Werfen wir einen Blick darauf, was passiert ist und was kommen wird.

HTTPS Stimulation

Ein gemeinsamer Nenner im Jahr 2017 ist die Stimulierung der Verwendung von HTTPS durch Browser und Regierungen sowie die Ausgabe kostenloser Zertifikate in integrierten Lösungen wie cPanel. Google überwacht die Verwendung von HTTPS der Top-Websites weltweit. In den Niederlanden berichtet Pulse regelmäßig über Entwicklungen und den Einsatz von HTTPS im öffentlichen Sektor. Browser wie Google Chrome und Mozilla Firefox haben ihre Browserwarnungen zusätzlich zur Überwachung mehrmals verschärft. In diesem Moment gibt es eine aktive Warnung für nicht-SSL-Websites mit einer "Nicht sicher" -Nachricht auf allen ungesicherten Webseiten, die Eingabefelder enthalten.

Was sind die Ergebnisse?

Im Februar letzten Jahres haben Browser zum ersten Mal gemessen, dass mehr als die Hälfte aller Webseiten über HTTPS geladen wurde. Bis Ende 2017 waren es 66% aller Seiten über Firefox und 69% der Seiten über Chrome. Anfang Januar 2018 hat Qualys einen Anteil von fast 65% gesicherten Websites gemessen, während 12 Monate zuvor 51% aller Websites sicher waren. Alle Länder und Plattformen zeigen ohne Ausnahme einen konstanten Anstieg.

Bei Xolphin steigt die Nachfrage nach DV-Zertifikaten, während der Verkauf von OV-Zertifikaten nahezu unverändert geblieben ist. Bemerkenswerterweise sehen wir im Jahr 2017 einen Anstieg der EV-Zertifikate um rund 48% gegenüber 2016.

Organisatorische Verschiebungen

Die Diskussion zwischen Google und Symantec und die Übernahme der Symantec SSL-Abteilung durch DigiCert sind bekannte Themen. Seit Dezember 2017 stellt DigiCert Symantec-, GeoTrust- und Thawte-Zertifikate aus. Im Jahr 2018 werden sie sich darauf konzentrieren, alle Zertifikate, die vor dem 1. Dezember 2017 ausgestellt wurden, neu auszustellen. Im Oktober 2017 erwarb ein großer Investor eine Mehrheitsbeteiligung an der Zertifikatssparte von Comodo.

Technische Entwicklungen

Viele Techniken und Initiativen haben der HTTPS-Nutzung zusätzliche Kontrolle und Sicherheit verliehen. Nicht alle Techniken haben sich in der Praxis als gleichermaßen nützlich erwiesen. Zum Beispiel hat Google angekündigt, dass es Ende März 2018 das Public Key Pinning nicht mehr unterstützen wird, da es jetzt bessere Alternativen gibt, z. B. die Verwendung von Zertifikatstransparenz in Kombination mit CAA-Datensätzen. Ab September 2017 sind alle zuständigen Behörden verpflichtet, die CAA-Datensätze zu überprüfen. Die Verwendung der Zertifikattransparenz war für Domain- und Organisationsvalidierungszertifikate bis Oktober 2017 obligatorisch, diese Frist wurde jedoch auf April 2018 verschoben.

Das CA/Browser Forum hat einen Vorschlag zur weiteren Begrenzung der Dauer von SSL-Zertifikaten angenommen. Seit dem 1. März 2018 haben alle SSL-Zertifikate eine maximale Laufzeit von 825 Tagen (2 Jahren).

HSTS (HTTP Strict Transport Security) wird zunehmend zum Standard, so dass die Verwendung einer sicheren Verbindung erzwungen wird. Anfang Januar verwendeten mehr als 15% der SSL-geschützten Websites HSTS. Die Nutzung von Perfect Forward Secrecy ist im vergangenen Jahr ebenfalls von 29,6% auf 37% gestiegen. Die Nutzung des HTTP/2-Protokolls nimmt 2017 schrittweise von 12% auf über 22% zu. Um HTTP/2 nutzen zu können, benötigen die meisten Browser die Verwendung von HTTPS, um die Nutzung von SSL zu fördern.

Was wird 2018 passieren?

Ab Januar dieses Jahres verlangt Mozilla das alle neuen Firefox-Funktionen HTTPS verwenden. Google hat angekündigt, ab Juli dieses Jahres HTTPS für alle Webseiten zu verlangen.

Ab Mai wird das neue europäische Datenschutzgesetz (DSGVO) in Kraft treten, mit dem das unsichere Datenmanagement stärker überwacht und getadelt wird. Teilweise wird deshalb erwartet, dass der Einsatz von HTTPS noch stärker wird und der Einsatz sicherer Verbindungen zum Standard wird.