Chrome führt Warnung vor unverschlüsselten Websites ein

Chrome Canary warnt vor unverschlüsseltem HTTP (Screenshot: News.com)

Google hat seine Ankündigung vom Dezember umgesetzt und in der Canary-Version des Browsers Chrome eine Warnung vor jeglicher unverschlüsselten Website eingeführt. Damit will es Nutzer darauf aufmerksam machen, dass die Absenz von Verschlüsselung an sich schon eine Unsicherheit ist. Allerdings bedeutet dies auch, dass der Besuch einer Mehrzahl verbreiteter Websites – darunter auch Wikipedia oder ZDNet.de – in Chrome als potenziell riskant erscheint.

Die Warnung besteht aus einem Seitensymbol, über dem ein rotes X eingeblendet ist. „Wir wissen, dass aktive Manipulations- und Überwachungsversuche ebenso wie passive Überwachungsangriffe keine Theorie sind, sondern tatsächlich im Web sehr verbreitet“, hatte der mit der Sicherheit von Chrome befasste Programmierer Chris Palmer schon im Dezember erklärt.

In Chrome Canary ist die Warnung noch nicht einmal standardmäßig vorhanden. Nutzer müssen sie erst unter chrome://flags freischalten. Da Canary nur von einigen wenigen Testern und Entwicklern verwendet wird, bekommt derzeit noch kaum jemand die Warnungen in der Praxis zu sehen. Google will ihnen aber nach und nach zu mehr Prominenz verhelfen und sie im Lauf des Jahres auch in die stabile Version von Chrome bringen.

Das hieße, dass der zweitbeliebteste Browser weltweit vor einer Mehrheit der Websites warnen würde. Einige Kritiker halten dies für übertrieben, manche befürchten auch, dass die User abstumpfen und letzten Endes auf wichtigere Warnungen nicht reagieren. Bisher verfolgt Google den Ansatz, auf unverschlüsselten Seiten keine Warnung, aber auf verschlüsselten ein grünes Häkchen anzubringen. In Zukunft könnte es SSL/TLS zur Norm erklären und nur noch EV-SSL-Zertifikate als besonders sicher markieren.

Verschlüsselungshinweise in Chrome Canary aktivieren (Screenshot: News.com)

HTTPS, also verschlüsseltes HTTP, kommt heute nicht nur bei Google-Diensten wie Gmail zum Einsatz, sondern auch in Social Networks wie Facebook und Twitter oder bei Yahoo Mail. Bei reinen Inhalte-Angeboten, die zudem kein Log-in erfordern, scheint es zunächst überflüssig, schränkt aber zumindest Usertracking und auch Versuche ein, die Webverbindung etwa durch Man-in-the-Middle-Angriffe zu entführen.

Google verschlüsselt Verbindungen mit Gmail und mit seiner Suche seit 2010. Schon damals argumentierte sein Sicherheitsexperte Adam Langley, SSL/TLS-Verschlüsselung brauche nicht mehr viel Rechenkraft. Seit den NSA-Enthüllungen durch Edward Snowden hat es seine Bemühungen aber noch erheblich verstärkt. Dies spiegelt sich auch in einem höheren Page Rank für verschlüsselte Angebote wider.

Für Mozilla nannte Kryptografie-Spezialist Richard Barnes die Pläne Googles gegenüber News.com „eine gute Idee“. Der Einsatz von HTTPS müsse so weit wie möglich verbreitet werden. Noch schreckt Mozilla aber vor drastischen Schritten zurück: „Wir wollen kein Warnlicht einbauen, das immer brennt – das lehrt die Nutzer nur, es zu ignorieren. Über einen Hinweis auf unsicheres HTTP sollte man nachdenken, um den Status von HTTPS von ‚vorherrschend‘ auf ‚omnipräsent‘ zu verbessern – nicht von ‚knapp in der Mehrheit‘ auf ‚omnipräsent‘.“

[mit Material von Stephen Shankland, News.com]