Ein Meilenstein für die Sicherheit in Chrome: HTTP wird nun als "nicht sicher" gekennzeichnet

Freitag, 27. Juli 2018

Sicherheit war von Anfang an eine absolute Priorität bei Chrome und wir arbeiten ständig daran, das Surfen im Web noch sicherer zu machen. Vor fast zwei Jahren haben wir angekündigt, dass in absehbarer Zeit alle Websites, die nicht mit HTTPS verschlüsselt sind, in Chrome als "nicht sicher" gekennzeichnet werden. Dadurch können Nutzer besser feststellen, ob ihre personenbezogenen Daten sicher übertragen werden – egal ob sie auf ihr Bankkonto zugreifen oder Konzertkarten kaufen. Ab heute werden diese Änderungen für alle Chrome-Nutzer umgesetzt.


Ab der aktuellen Chrome-Version (68) wird beim Besuch von HTTP-Seiten der Hinweis "nicht sicher" angezeigt

Mehr verschlüsselte Verbindungen, mehr Sicherheit

Wenn Sie eine Website über HTTP laden, ist Ihre Verbindung unverschlüsselt. Das bedeutet, dass jeder im Netzwerk alle übermittelten Daten einsehen oder sogar den Inhalt der Website ändern kann, bevor dieser bei Ihnen ankommt. Mit HTTPS ist Ihre Verbindung zur Website verschlüsselt, sodass übertragene Daten wie Passwörter oder Kreditkarteninformationen während der Übermittlung nicht für andere einsehbar sind.

Chrome warnt Sie dann mit dem Hinweis "nicht sicher", dass die Verbindung zu einer Website unsicher ist. Gleichzeitig wird auch der Eigentümer der Website dazu motiviert, die Sicherheit seiner Website zu verbessern. Seit unserer Ankündigung vor fast zwei Jahren wurden bei der Verbreitung von HTTPS enorme Fortschritte erzielt. Im Rahmen unseres Transparenzberichtshaben wir festgestellt, dass


  • 76 % des Chrome-Traffics auf Android-Geräten jetzt sicher sind. Zuvor waren es nur 42 %.
  • 85 % des Chrome-Traffics auf Chrome OS-Geräten jetzt sicher sind. Zuvor waren es nur 67 %.
  • 83 der größten 100 Websites standardmäßig HTTPS verwenden. Zuvor waren es nur 37 Websites.

Wir waren uns bewusst, dass es einige Zeit in Anspruch nehmen würde, eine Warnung für alle HTTP-Seiten einzuführen. Deshalb haben wir anfangs nur unverschlüsselte Seiten gekennzeichnet, auf denen nach Passwörtern und Kreditkarteninformationen gefragt wird. In der nächsten Phase wurde die Warnung "nicht sicher" auch in zwei weiteren Situationen angezeigt: wenn auf einer HTTP-Seite Daten eingegeben werden und wenn auf einer HTTP-Seite der Inkognitomodus verwendet wird.

Unser Ziel ist es, in Chrome nur die Websites zu kennzeichnen, die unsicher sind. Das Fehlen dieser Kennzeichnung bedeutet damit automatisch, dass eine Website sicher ist. Wir führen diese Neuerung schrittweise ein und beginnen im September 2018, den Begriff "sicher" nach und nach zu entfernen. Ab Oktober 2018 wird dann die Warnung "nicht sicher" in Rot angezeigt, wenn Nutzer Daten auf HTTP-Seiten eingeben.


In der Chrome-Version (70) vom Oktober 2018 wird die Warnung "nicht sicher" in Rot angezeigt, wenn Daten auf einer HTTP-Seite eingegeben werden

Vereinfachte Verschlüsselung

Für Eigentümer einer Website, die auf HTTPS umsteigen oder eine neue HTTPS-Website erstellen möchten, haben wir das Verfahren so einfach und kostengünstig wie möglich gemacht. Zu den Verbesserungen zählen verwaltetes HTTPS für die Google App Engine, verbindliche und automatische HTTPS-Verbindungen auf allen App-Domains sowie kostenlose und automatisierte Zertifikate über die Zertifizierungsstelle Let's Encrypt, bei der Chrome Platin-Sponsor ist. Wenn Sie auf HTTPS umsteigen möchten, halten Sie Ausschau nach Search Console-Nachrichten. Dort finden Sie weitere Informationen und Anleitungen.

Wenn Sie also auf einer Website Konzertkarten kaufen oder Onlinebanking nutzen, werden Sie direkt gewarnt, falls Ihre Daten nicht mit HTTPS geschützt sind. Damit kommen wir unserem Ziel – die Sicherheit von Chrome immer weiter zu erhöhen – wieder ein Stück näher. Aber wir bleiben dran: Damit Ihr Browser auch in Zukunft der sicherste ist, den es gibt.

Gepostet von Emily Schechter, Chrome Security Product Manager