Chrome 68 warnt vor unverschlüsselten Websites

Stefan Beiersmann,
Google Chrome OS (Bild: Google)

Google setzt eine Ankündigung von Februar um. Neben der URL einer HTTP-Website erscheint nun der Zusatz “Nicht sicher”. Cloudflare zufolge verzichten sehr viele Websites weiterhin auf eine Absicherung per HTTPS.

Googles Browser Chrome stuft ab sofort Websites, die keine Verschlüsselung per sicherem HTTP (HTTPS) bieten, als unsicher ein. Das Unternehmen setzt damit eine Ankündigung von Februar um. Die Neuerung ist Bestandteil des Updates auf Chrome 68, das ab sofort verteilt wird.

Websites, die per HTTPS aufgerufen werden, zeigen in der Adressleiste links der URL ein grünes Schloss mit dem Zusatz “Sicher” an. Fehlt die Verschlüsselung, wird dort stattdessen ein Ausrufezeichen mit dem Zusatz “Nicht sicher” eingeblendet. Die Warnung ist Teil von Googles Strategie, mehr Anreize zu schaffen, damit Websitebetreiber ihre Angebote von HTTP auf HTTPS umstellen. Dazu gehört auch, dass Google unverschlüsselte Websites in seinen Suchergebnissen herabstuft.

Warnung vor HTTP-Websites (Screenshot: ZDNet.de)
Chrome 68 markiert unverschlüsselte Websites als “Nicht sicher” (oben) und HTTPS-Websites als “sicher” (Screenshot: ZDNet.de).
Sicheres HTTP (HTTPS) verschlüsselt die Kommunikation zwischen Browser und Website. Dritte, beispielsweise in einem gemeinsam genutzten Netzwerk, sind so nicht in der Lage, den Datenverkehr abzuhören. Da im Rahmen der Verschlüsselung auch die Identität der Website überprüft wird, gilt HTTPS beziehungsweise das grüne Schlosssymbol in der Adressleiste von Chrome als Nachweis dafür, dass der Nutzer mit der korrekten Website verbunden ist.

Für kleinere oder neue Websites ist der Umstieg auf Verschlüsselung oft nur mit einem geringen Aufwand verbunden. Einige Hosting-Anbieter ermöglichen den Wechsel zu HTTPS mit wenigen Mausklicks und ohne zusätzliche Kosten. Bei größeren und älteren Internetangeboten ist der Umstieg jedoch deutlich komplexer, da alle Inhalte der Domain per HTTPS gesichert werden müssen – ein einziges Element, das nicht verschlüsselt ist, reicht aus, um die Seite auf den Status „unsicher“ zurückzustufen.

Trotz Googles Bemühungen ist HTTPS noch weit davon entfernt, zu einem Standard zu werden. Cloudflare zufolge verzichtet mehr als die Hälfte der Million beliebtesten Websites auf eine Verschlüsselung. Laut den Sicherheitsexperten Troy Hunt und Scott Helme sind 100 der Top-500-Websites unverschlüsselt, darunter Angebote wie BBC.co.uk und Fedex.com.

Das Update stopft auch zahlreiche Sicherheitslöcher

Chrome 68 schließt zudem 42 Sicherheitslücken. Von mindestens fünf Anfälligkeiten geht ein hohes Risiko aus. Sie erlauben unter Umständen das Einschleusen und Ausführen von Schadcode in der Sandbox des Browsers.

Google verteilt Chrome 68 über die Update-Funktion des Browsers. Nutzer, die Chrome bereits installiert haben, sollten die Aktualisierung in Kürze erhalten. Alternativ kann das Update aber auch manuell gestartet werden. Dazu muss im Menü unter dem Punkt “Hilfe” die Funktion “Über Google Chrome” aufgerufen werden. Zudem ist in der Regel ein Neustart des Browsers erforderlich, um die Aktualisierung abzuschließen.