Wie Google mit Chrome die Verbreitung von HTTPS-Verschlüsselungen erwirkt

Google gibt im World Wide Web den Ton an – und das ist auch beim Thema Verschlüsselung spürbar. Der Internetriese forciert seit einigen Jahren die HTTPS-Verschlüsselung und wird nun weitere Schritte mit dem hauseigenen Browser Chrome unternehmen, um das Web sicherer zu gestalten.

„A secure web is here to stay“

Unter diesem Titel – „Das sichere Web ist gekommen, um zu bleiben“ – verfasste Google in seinem Blog eine Erklärung darüber, wie sicher das Web geworden ist und was der Internetgigant künftig mit Chrome plant. Seit einigen Jahren schon ist Google mit seinem Browser Chrome Marktführer und ist damit in der Position, die Internet-Welt mitzubestimmen.

Bereits als Google Verschlüsselung im Jahre 2014 zum Rankingfaktor machte (wir berichteten), stieg der verschlüsselte Web-Traffic an. Nun möchte Google noch einen Schritt weitergehen: Anstatt wie bisher Seiten, die ein SSL-Zertifikat nutzen, als sicher zu kennzeichnen, wird Chrome unsichere, also unverschlüsselte Sites als solche kennzeichnen. Dieser Schritt wird die Verschlüsselung im World Wide Web sicherlich noch einmal vorantreiben – schließlich orientiert man sich am Weltmarktführer und andere Browser werden auch diesmal sicherlich nachziehen.

HTTPS immer weiter verbreitet

Dass Googles Strategie aufgeht, zeigen nackte Zahlen: Googles Statistiken zeigen, dass schon 68 % des Chrome-Traffics unter Android und Windows verschlüsselt sind. Auf sogar 78 % kommen Chrome OS sowie macOS. Google bezieht sich weiter auf die Top-100-Websites, von denen 81 Seiten HTTPS nutzen.

Google möchte, dass der verschlüsselte Traffic weiterhin zunimmt. Dafür stellt der Internetgigant einige Tools zur Verfügung. Mithilfe eines speziellen Audits soll es gelingen, Mixed Content (Kombination aus unverschlüsselten und verschlüsselten Inhalten) aufzuspüren. Um die Qualität von Websites zu optimieren, eignet sich Lighthouse. Mit diesem Tool werden Ressourcen aufgespürt, die der Browser per HTTP lädt.

Chrome 68 warnt vor unverschlüsselten Sites

Bisher wurden in Chrome HTTPS-Sites mit dem Text „Sicher“ versehen und ein grünes Schloss stellte diese Sicherheit optisch dar. HTTP-Verbindungen hingegen waren lediglich an einem neutralen i-Symbol erkennbar. Mit einem Klick darauf erhielt man die Information: „Die Verbindung zu dieser Seite ist nicht sicher“.

In seinem Blogbeitrag kündigt Google nun an, von dieser bisherigen Strategie abzuweichen, um unverschlüsselte HTTP-Seiten noch deutlicher kenntlich zu machen. Ab Version 68, die im Juli erscheint, fällt der Hinweis, dass eine Site unsicher ist, viel deutlicher ins Auge. Denn neben dem schon bekannten i-Symbol wird dann „Not secure“ – „unsicher“ zu lesen sein.

Weiter ist zu beachten, dass Chrome mit der Version 70 vor Symantec-Zertifikaten warnen wird. Warum der Symantec-Gruppe das Vertrauen entzogen wurde, erklären wir im Beitrag „Chrome entzieht Symantec, Thawte und GeoTrust das Vertrauen“.

Fazit: Google möchte auffälliger warnen

Dass der verschlüsselte Traffic zunimmt, ist zweifelsfrei eine großartige Entwicklung, denn sie macht das World Wide Web sicherer. Es scheint der nächste logische Schritt zu sein, soeben vor unverschlüsselten Sites zu warnen – denn verschlüsselte Sites sind zum Standard geworden.

Dennoch sind die Browser-Darstellungen von SSL-Zertifikaten zu kritisieren. Denn in der Darstellung wird leider kaum mehr ein Unterschied zwischen verschieden validierten SSL-Zertifikaten gemacht. Jedoch existieren wichtige Unterschiede bei den verschiedenen Zertifikatstypen. Wünschenswert wäre eine differenzierte Darstellung von verschlüsselten Sites sowie eine sehr deutliche Warnung vor unverschlüsselten Webseiten.