„Safe by default“: Google Chrome setzt auf SSL-Verschlüsselung
Noch kennzeichnet Googles Browser Chrome HTTPS-verschlüsselte Websites mit einem grünen Vorhängeschloss. Schon bald soll diese Kennzeichnung wegfallen und nur noch unverschlüsselte Sites gekennzeichnet werden. Google findet, das Web sei „safe by default“. Was Sie beachten müssen, erfahren Sie heute.
Das Web soll „standardmäßig sicher“ sein
Google ist überzeugt: Web-User dürfen erwarten, dass das Internet „standardmäßig sicher“ ist. Bisher zeigt der Google-Browser Chrome an, wenn User HTTPS-verschlüsselte Sites ansurfen. Das dürfte sich jedoch bald ändern: künftig soll nur noch vor fehlender Verschlüsselung gewarnt werden. Aufgrund der gegebenen Sicherheit im World Wide Web sei eine Kennzeichnung verschlüsselter Seiten laut Google unnötig geworden.
Geplant ist, dass die Änderungen ab der Chrome-Version 70 umgesetzt werden, die für Oktober geplant ist. Mit der Vorgängerversion wird zunächst der textliche Hinweis „sicher“ verschwinden, das heute grüne Schlosssymbol wird grau eingefärbt. Google erhofft sich mit dem auffälligen Markieren von unsicheren Seiten, dass sich noch mehr Websitebetreiber für Verschlüsselung entscheiden.
Internetriese Google gibt den Ton an
Der Internetriese Google gibt in der Browser-Welt den Ton an, schließlich ist Chrome weltweit der meistverbreitete Browser. Diese Stellung nutzt Google aus, um Verschlüsselung voranzutreiben: Einerseits mit der Markierung von unsicheren Seiten, andererseits aber auch mit der Tatsache, dass Google Verschlüsselung zum Rankingfaktor gemacht hat.
Schon seit Januar dieses Jahres warnt Google Nutzer in der Link-Adressleiste vor unsicheren, also unverschlüsselten Verbindungen – selbst dann, wenn diese Sites auf Passwort-Eingaben oder Kontaktinformationen verzichten. Schrittweise erfolgt nun die Umstellung auf die neue Darstellung. Ab dem Release der kommenden Version werden unverschlüsselte Websites in Chrome als „nicht sicher“ gekennzeichnet. Websites ohne SSL-Zertifikat sind dann nicht mehr vertrauenswürdig.
Welches SSL-Zertifikat soll genutzt werden?
Um Google zu beschwichtigen, genügt ein SSL-Zertifikat von einem vertrauenswürdigen Anbieter. Die Auswahl ist hier riesig: Vom kostenfreien SSL-Zertifikat bis hin zu teuren Varianten ist alles möglich. Welches SSL-Zertifikat das richtige für Sie ist, hängt von Ihrem Bedarf ab. Für private Blogs genügen domainvalidierte SSL-Zertifikate, Firmensites sind jedoch mindestens mit organisationsvalidierten Zertifikaten abzusichern. Wie die Preisunterschiede bei SSL-Zertifikaten entstehen und welche Arten der Validierung existieren, lesen Sie bitte in unserem Beitrag „Aus dem verschlüsselten Nähkästchen: kostenloses SSL/TLS-Zertifikat für Phishing missbraucht“.
Auch in Zukunft werden Extended Validation (EV-)Zertifikate – oft als „Business-Zertifikat“ oder „Premium-Zertifikat“ bezeichnet – besonders hervorgehoben. Wie Sie im oben verlinkten Beitrag sehen können, wird bei diesen SSL-Zertifikaten umfangreich geprüft, bevor die Ausstellung erfolgt. Auch künftig wird Chrome die Adressleiste des Browsers grün einfärben und den Firmennamen des Website-Betreibers anzeigen.
Umstellung auf HTTPS – was ist zu beachten?
Sämtliche Links müssen über HTTPS aufrufbar sein. Dies erreichen Sie beispielsweise, wenn Sie die Base-URL in Ihrem Shopsystem oder CMS ändern. Auch ein 301-Redirect sorgt für das Erzwingen einer Weiterleitung von HTTP auf HTTPS. Beachten Sie zudem, sämtliche Inhalte, also auch CSS, Bilder und JavaScript, die Sitemap sowie die Canonical-Tags auf HTTPS umzuschreiben. In aller Regel bieten die Hersteller des CMS oder des Shopsystems Anleitungen, wie die Site auf HTTPS umgestellt wird.
Ebenfalls beachten: Chrome entzieht Symantec das Vertrauen
Beachten Sie bitte außerdem, dass der Suchmaschinenriese Google der Symantec-Gruppe das Vertrauen entzogen hat. In unserem Beitrag „Chrome entzieht Symantec, Thawte und GeoTrust das Vertrauen“ erfahren Sie die Details und können einem Zeitplan entnehmen, bis wann Sie handeln sollten, wenn Sie SSL-Zertifikate dieser Zertifizierungsstellen nutzen.
Die Änderungen bezüglich der Symantec-Gruppe möchte Google bis zur Version 70 umgesetzt haben. Diese erscheint zwar erst im Oktober. Jedoch kommt bereits einen Monat vorher die Beta-Version heraus – auch mit dieser funktionieren die Seiten dann nicht mehr. Tauschen Sie Ihr SSL-Zertifikat also rechtzeitig aus!
Google forciert Verschlüsselung
Ob das Web bereits „safe by default“ ist, lässt sich sicherlich diskutieren. Fakt ist: Google wird bald schon unsichere Sites abstrafen, indem sie als unsicher gekennzeichnet werden. Unternehmen, die im Web bestehen wollen, müssen Vertrauen und Sicherheit ausstrahlen – nicht nur wegen Googles Planungen, sondern auch aufgrund der DSGVO. Damit sind Websitebetreiber spätestens jetzt in der Pflicht, die Website zu verschlüsseln. Möchten Sie sich bedarfsgerecht beraten lassen, wenden Sie sich vertrauensvoll an uns!
Schreibe einen Kommentar