Chrome warnt vor unverschlüsselten Websites

Andre Borbe,
Google Chrome (Bild: Google)

Die Funktion ist bislang nur in der Canary-Version enthalten und muss vom Nutzer selbst aktiviert werden. Google will die Warnhinweise im Lauf des Jahres in die stabile Chrome-Version integrieren. Mozilla unterstütz die Idee, hält sie aber für verfrüht.

Googles Browser Chrome warnt in der Canary-Version vor unverschlüsselten Websites. Ziel des Internetkonzerns ist es, Nutzer darauf aufmerksam zu machen, dass das Fehlen von Verschlüsselung bereits eine Unsicherheit darstellt. Jedoch heißt dies auch, dass der Besuch einer Mehrzahl verbreiteter Websites – darunter auch Wikipedia oder silicon.de – in Chrome als potenziell riskant erscheint.

Ein Seitensymbol, über dem ein rotes X eingeblendet ist, warnt vor unverschlüsselten Seiten. “Wir wissen, dass aktive Manipulations- und Überwachungsversuche ebenso wie passive Überwachungsangriffe keine Theorie sind, sondern tatsächlich im Web sehr verbreitet”, hat der für die Sicherheit von Chrome verantwortliche Programmierer Chris Palmer schon im Dezember erklärt.

Die Warnung ist in Chrome Canary nicht standardmäßig vorgesehen. Unter chrome://flags müssen Nutzer die Funktion selbst einschalten. Da nur einige wenige Tester und Entwickler Canary einsetzen, bekommt derzeit noch kaum jemand die Warnungen in der Praxis zu sehen. Im Lauf des Jahres will Google sie in die stabile Version von Chrome integrieren.

Chrome Canary warnt vor unverschlüsseltem HTTP (Screenshot: News.com)
Chrome Canary warnt vor unverschlüsseltem HTTP (Screenshot: News.com)

Damit würde der zweitbeliebteste Browser weltweit vor einer Mehrheit der Websites warnen. Als übertriebene Maßnahme bezeichnen einige Kritiker den Schritt des Konzerns. Unter anderem befürchten sie, dass die Nutzer abstumpfen und künftig auf wichtigere Warnungen nicht mehr reagieren. Bislang zeigt Google statt einer Warnung auf unverschlüsselten Seiten, ein grünes Häkchen auf verschlüsselten Websites an. In Zukunft könnte es SSL/TLS zur Norm erklären und nur noch EV-SSL-Zertifikate als besonders sicher markieren.

Nicht nur Google Dienste wie Gmail nutzen HTTPS – also verschlüsseltes HTTP -, sondern auch Soziale Netzwerke wie Facebook und Twitter. Bei reinen Inhalte-Angeboten, die außerdem kein Log-in erfordern, scheint es zunächst überflüssig, schränkt aber zumindest Usertracking und auch Versuche ein, die Webverbindung etwa durch Man-in-the-Middle-Angriffe zu entführen.

Mozilla befürwortet Googles Pläne

Seit 2010 verschlüsselt Google Verbindungen mit Gmail und der Google-Suche. Der Sicherheitsexperte des Konzerns, Adam Langley, erklärte bereits damals, dass SSL/TLS-Verschlüsselung nicht mehr viel Rechenkraft brauche. Seit den NSA-Enthüllungen durch Edward Snowden hat es seine Bemühungen aber noch erheblich verstärkt. Das zeigt sich zudem in einem höheren Page Rang für verschlüsselte Angebote.

Zu News.com sagte Mozillas Kryptografie-Spezialist Richard Barnes, die Pläne Googles seien “eine gute Idee”. Der Einsatz von HTTPS müsse so weit wie möglich verbreitet werden. Noch schreckt Mozilla aber vor drastischen Schritten zurück: “Wir wollen kein Warnlicht einbauen, das immer brennt – das lehrt die Nutzer nur, es zu ignorieren. Über einen Hinweis auf unsicheres HTTP sollte man nachdenken, um den Status von HTTPS von ‘vorherrschend’ auf ‘omnipräsent’ zu verbessern – nicht von ‘knapp in der Mehrheit’ auf ‘omnipräsent’.”

[mit Material von Florian Kalenda, ZDNet.de]