Google Chrome zeigt http-Seiten ‘demnächst’ als unsicher an

Google will das Web auf https-Übertragung zwingen, koste es, was es wolle. Demnächst zeigt der Google Chrome-Browser Webseiten, die per http ausgeliefert werden, als unsicher an. Hier ein paar Infos und Gedanken zum Thema.


Anzeige

Zum Hintergrund: http oder https

Webseiten können vom Server unverschlüsselt per http oder verschlüsselt per https ausgeliefert werden. Das Hypertext Transfer Protocol (http) unterstützt jeder Webserver. Um Webseiten per https auszuliefern, sind Änderungen am Webserver erforderlich. Unter anderem muss ein Zertifikat vorhanden sein, welches die Identität des Webservers überprüfbar macht. Das bedeutet für den Website-Betreiber zusätzliche Kosten und zusätzlichen Aufwand. Läuft das Zertifikat aus, werden Zugriffe auf die Inhalte als “unsicher” gesperrt.

Ursprünglich war https dafür gedacht, sensitive Daten während der Übertragung zwischen Server und Client zu verschlüsseln, so dass diese nicht gelesen und/oder verfälscht werden können. Dadurch fällt auch die Umleitung auf “gefakte” Webseiten beim Phishing auf. Aber das kann man auch erkennen, wenn man sich die URLs der abgerufenen Seiten anschaut. Zwischenzeitlich ist davon auszugehen, dass diese https-verschlüsselten Daten von interessierten Stellen durchaus mitgelesen und sogar verändert werden können. Aber das nur am Rande.

Das Vorhaben von Google

Schon seit längerem versucht Google die Übertragung von Webseiten vom als “unsicher” eingestuften http auf https zu drücken. Webseiten, die per https ausgeliefert werden, stuft Google im Ranking hoch.

Nun gibt es den nächsten Schritt: Ab Januar 2016 wird der Google Chrome-Browser in der Version 56 Webseiten, die http zur Übertragung verwenden, aber Passwörter zur Anmeldung verwenden oder Kreditkartendaten übertragen, als unsicher anzeigen. Es gibt vorerst nur eine Warnung “Not secure” oder “Nicht sicher” bei der Anzeige der Seite.


(Quelle: Google)

Insgesamt ist das eine sinnvolle Geschichte, da Kennwörter und Zahlungsinformationen nicht unverschlüsselt übertragen werden sollen. Zu einem späteren Zeitpunkt will Google dann alle per http übermittelten Webseiten bei der Anzeige im Inkognito-Modus als “nicht sicher” markieren. Wenn ich den Blog-Beitrag von Google richtig interpretiere, sollen irgendwann alle per http übertragenen Webseite im Google Chrome-Browser mit einem roten Dreieck gekennzeichnet werden. Dieses Symbol wird auch verwendet, wenn eine https-Übertragung als unsicher oder gebrochen eingestuft wird.

(Quelle: Google)

Begründung ist, dass eine unverschlüsselt übertragene Webseite mitgelesen und modifiziert werden könnte. Die Details sind in diesem englischsprachigen Blog-Beitrag von Google zu finden. Und da fangen meine Probleme mit dem Google-Ansatz an.


Anzeige

Wo ich die Probleme beim Google-Ansatz sehe …

Während die https-Übertragung bei der Eingabe sensitiver Daten sicherlich sehr sinnvoll ist, versucht Google imho das “Kind mit dem Bade” auszuschütten. Millionen einfache Webseiten, die ein paar Informationen bereitstellen, sollen so auf die https-Übertragung “gezwungen” werden. Steigerung der Sicherheit? In meinen Augen Null. Warum?

Es ist zwar korrekt, dass die Übertragung der http-Daten gelesen und modifiziert werden kann. Aber mitlesen kann jeder, der die URL der abgerufenen Webseite kennt. Solange der Benutzer keine sensitiven Daten in die Formulare einer Webseite einträgt, sehe ich das unkritisch.

Und zum Thema “Modifizierung der Übertragung”: die “Hacks” passieren doch an anderer Stelle. Ein kompromittierter Webserver, der Schadsoftware ausliefert. Super-Cookies, die von Werbetreibenden gesetzt werden, um das Surfverhalten der Nutzer zu verfolgen. Oder kompromittierte Werbenetzwerke (an denen Google ja auch beteiligt ist), die Malware ausrollen, das sind imho alles viel größere Bedrohungen, als ein Man-in-the-middle-Angriff bei einer http-Übertragung. Einzig die “Umleitung beim Phishing durch gefakte Webseiten” könnte ggf. noch manchen Zeitgenossen retten – obwohl der die Warnung im Browser vermutlich ignoriert.

Gehe ich noch einen Schritt weiter, wird sichtbar, wo es noch krankt. Die Hersteller von Internet Security-Lösungen unternehmen momentan alle möglichen Klimmzüge, um sich in die https-Verschlüsselung einzuklinken und den Datenstrom der “ach so sicheren” https-Übertragung mitlesen und auf Schadsoftware überwachen zu können. Und hebeln dann nicht selten die komplette https-Verschlüsselung durch fehlerhafte Implementierung aus (siehe z.B. diesen Blog-Beitrag). Und geklaute Zertifikate (siehe hier) reißen ebenfalls Sicherheitslücken auf. Also wird da wiederum ein großer Ballon aufgeblasen, der den Aufwand hoch treibt und die Sicherheit gelegentlich reduziert.

Unter dem Strich: Hier wird in meinen Augen ein sinnvoller Ansatz, https da einzusetzen, wo sensitive Informationen übertragen werden, konterkariert. Am Ende des Tages ist der Ansatz imho nur ein gigantisches Umverteilungsprogramm für Zertifikate-Aussteller, die die Zertifikate kostenpflichtig ausstellen und zyklisch erneuern können. Für mich als Blog-Betreiber bedeutet das, dass ich mich um die jeweiligen kostenpflichtigen Zertifikate kümmern, diese einbinden und auch pflegen muss. Macht Aufwand, ohne dass sich an der Sicherheit der öffentlich abrufbaren Blog-Beiträge ein Jota ändert.

Wenn ich mir die Kommentare hier, hier, hier oder hier ansehe, bin ich nicht alleine. In Zeiten, wo Millionen E-Mails per unverschlüsseltem Protokoll verschickt werden, erscheint mit der Google-Ansatz jedenfalls reichlich überdimensioniert und kontraproduktiv. Aber möglicherweise habe ich was übersehen – oder gibt es von eurer Seite andere Insights? (via)


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Anzeige


Dieser Beitrag wurde unter Google Chrome abgelegt und mit Chrome, Sicherheit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

4 Antworten zu Google Chrome zeigt http-Seiten ‘demnächst’ als unsicher an

  1. Holger K. sagt:

    Ich muss beipflichten, da schießt Google weit über das Ziel hinaus, wenn sämtliche unverschlüsselnden Seiten gebrandmarkt werden sollen.
    Ich setze Google Chrome nicht ein, würde niemandem empfehlen diese Software zu installieren genauso wenig wie Internet Explorer, Edge oder Safari. Quelloffene Software ist meiner Ansicht nach in einem so sensiblen Bereich die beste Lösung.

    Als ich Ende der Neunziger Jahre zum ersten Mal mit HTTPS und Zertifikaten konfrontiert wurde, war mir damals schon suspekt, dass Zertifikatsaussteller sich eine goldene Nase verdienen wollen. An dieser Einschätzung hat sich bis heute nichts geändert.
    Es wäre an der Zeit, eine international übergeordnete Zertifizierungssstelle ins Leben zu rufen, die als Non-Profit-Organisation aufgestellt wäre. Doch fürchte ich, dass das niemals umgesetzt würde, da dann die leider etablierten Aussteller dagegen Sturm laufen würden. Selbst die ICANN und sonstige Organisationen im Umfeld der Domainvergabe sind dem Profit verhaftet, obwohl vom Grundgedanken dies eigentlich nicht sein dürfte.

  2. Ben sagt:

    In Zeiten von kostenlosen Zertifikaten (z.B. via Let’s Encrypt) finde ich den Ansatz von Google begrüßenswert, langfristig sämtliche Seiten zum Einsatz von https zu bewegen, egal ob sensible Daten oder nicht. Zumal ja die Meinungen, welche Daten sensibel sind oder nicht, durchaus auseinandergehen können.

    Die Argumente „Kosten“ und „Aufwand“ sind m.E. nur vorgeschoben.
    Die Zertifikate sind, wie bereits gesagt, kostenfrei, und dank ACME-Protokoll (Automated Certificate Management Environment) werden diese auch automatisch verlängert und eingebunden.

    Keinen eigenen Webserver? Kein Problem. Es gibt Webhoster, die selbst Shared-Hosting-Angebote mit Let’s Encrypt versorgen können. Namen nenne ich jetzt mal nicht, um keine Werbung zu machen.

    Ich sehe das wie Google: https ist das neue http !
    Also: Let’s encrypt! ;-)

    PS.: Wann ist dieses Blog mit https erreichbar?

  3. Ralph sagt:

    Mal abgesehen von dem Overhead an Traffic, der bei der Nutzung von https zweifelsfrei entsteht, stelle ich auf langsamen Endgeräten immer wieder fest, dass eine https-basierte Seite länger braucht, bis sie dargestellt ist, als das bei einer http-basierten Seite der Fall ist. Zudem sind „Kosten“ und „Aufwand“ (was übrigens auch Kosten bedeutet) keine „vorgeschobenen Argumente“, sondern Faktoren, die man besser nicht vernachlässigt. Und so toll ich persönlich Ansätze wie „Let’s encrypt“ finde, so umständlich sind sie in der Umsetzung. Kommt dann noch hinzu, dass es zwar wünschenswert, aber keines falls Pflicht ist, der englischen Sprache mächtig zu sein, dann kommen wir auf einen ganzen Haufen Webseitenbetreiber auf der ganzen Welt, die allerhöchstens den Mittelfinger gestreckt zeigen, sich aber ganz sicher nicht zu https zwingen lassen werden. Ein Blog muss im Frontend auch nicht wirklich https nutzen. Im Backend sieht das anders aus.

  4. Dusan Gajski sagt:

    Guten Abend Herr Borns, vielen Dank für Artikel.
    Seit etwa zwei Wochen kann ich keine Seite mehr mit Chrome öffnen, selbst bei google.de kommt automatisch
    „Die ist keine sichere Verbindung“ mit dem Zusatz „NET::ERR_CERT_AUTHORITY_INVALID“, Auch Ihre Seite wird gleich Quitiert mit Unsicher. (Siehe Bilder)
    Ich habe schon alles versucht. Ich besitze die neueste Chrome Version, habe den Cache und Browserdaten geleert, Einstellungen zurückgesetzt, Antivirenprogramme drüber laufen lassen (nichts gefunden)Zone Alarm deinstalliert. Zeiteinstellungen überprüft etc. Mit Firefox und Opera gibt es die Probleme nicht, auf drei weitere Computer mit gleiche Router läuft Chrome anstandslos. Also muss es definitiv was mit Chrome zu tun haben.
    Viele Grüße Dusan
    Nachtrag: habe auch versucht Chrome/Portable vom USB Stick zu starten, raten sie mal, was ist gekommen: „Die ist keine sichere Verbindung“ Ich bin wirklich ratlos.
    https://picload.org/view/drpdrcii/born1.jpg.html
    https://picload.org/view/drpdrciw/born2.jpg.html
    https://picload.org/view/drpdrcpr/born3.jpg.html

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.