Kritik an der fehlenden Unterscheidung zwischen verschieden validierten SSL-Zertifikaten
IT-Sicherheitsexperte: Google fördert die Verbreitung von HTTPS-Verschlüsselung
PSW-Group-Geschäftsführer Christian Heutger kommentierte vor Kurzem die Bemühungen von Google, die Verschlüsselungstechnik im hauseigenen Browser zu stärken. Google gebe im Internet den Ton an, und dies sei auch beim Thema Verschlüsselung spürbar. Bereits seit Jahren forciert der Internetriese die HTTPS-Verschlüsselung und unternimmt mit Chrome nun weitere Schritte, um das Web sicherer zu gestalten.
Bereits als Google im Jahr 2014 Verschlüsselung zum Ranking-Faktor machte, stieg der verschlüsselte Web-Traffic an. Jetzt folgt laut Heutger der nächste Clou: Unsichere Webseiten, also unverschlüsselte Sites, werde Chrome nun als unsicher kennzeichnen. Darauf machen die IT-Sicherheitsexperten der PSW Group (www.psw-group.de) dediziert aufmerksam. "Dieser Schritt wird die Verschlüsselung im World Wide Web siche noch einmal vorantreiben - schließlich orientieren sich auch andere Browser-Hersteller am Weltmarktführer und werden sicher auch diesmal nachziehen", vermutet Heutger.
Dass Googles Strategie aufgeht, zeigen laut Heutger auch die Zahlen. Eigene Statistiken des Internetriesen zeigen, dass bereits 68 Prozent des Chrome-Traffics unter Android und Windows verschlüsselt sind. Chrome OS sowie macOS kommen sogar auf 78 Prozent. Google bezieht sich weiter auf die Top-100-Websites, von denen 81 Seiten HTTPS nutzen.
"Nun möchte Google, dass der verschlüsselte Traffic weiterhin zunimmt und stellt dafür sogar einige Tools zur Verfügung. Mithilfe eines speziellen Audits soll es gelingen, so genannten Mixed Content, also eine Kombination aus unverschlüsselten und verschlüsselten Inhalten, aufzuspüren", so Heutger.
Der IT-Sicherheitsexperte hat auch einen Tipp parat: "Um die Qualität von Websites zu optimieren, eignet sich Lighthouse. Mit diesem Tool werden Ressourcen aufgespürt, die der Browser per HTTP lädt."
Bisher wurden in Chrome HTTPS-Sites mit dem Text "Sicher" versehen und ein grünes Schloss stellte diese Sicherheit optisch dar. HTTP-Verbindungen waren lediglich an einem neutralen i-Symbol erkennbar. Mit einem Klick darauf erhielt man die Information: "Die Verbindung zu dieser Seite ist nicht sicher".
Mit der jetzt erschienenen Version 68 fällt dieser Hinweis viel deutlicher ins Auge: Neben dem bekannten i-Symbol ist nun "Not secure" - "unsicher" zu lesen.
"Dass der verschlüsselte Traffic zunimmt, ist zweifelsfrei eine großartige Entwicklung, denn sie macht das World Wide Web sicherer. Es scheint der nächste logische Schritt zu sein, nun vor unverschlüsselten Sites zu warnen." Dennoch seien laut dem PSW-Group-Mann die Browser-Darstellungen von SSL-Zertifikaten zu kritisieren. Denn in der Darstellung werde leider kaum mehr ein Unterschied zwischen verschieden Validierungsstufen bei SSL-Zertifikaten gemacht. "Dabei existieren wichtige Unterschiede bei den verschiedenen Zertifikatstypen", schätzt Christian Heutger diese neue Entwicklung ein. Er wünscht sich eine differenzierte Darstellung von verschlüsselten Sites sowie eine sehr deutliche Warnung vor unverschlüsselten Webseiten.
Weitere Information stehen unter www.psw-group.de/blog/wie-google-mit-chrome-die-verbreitung-von-https-verschluesselungen-erwirkt/5237 zur Verfügung.
Lesen Sie mehr zum Thema
