07. November 2016

Jetzt auf HTTPS updaten: Chrome wird vor unsicheren Websites warnen

Die Warnung, wie sie derzeit in Chrome 56 (Canary), der Vorschau-Version für Entwickler, implementiert ist.
Die Warnung, wie sie derzeit in Chrome 56 (Canary), der Vorschau-Version für Entwickler, implementiert ist.

Google ist bestrebt das Web sicherer zu machen und favorisiert in den Suchresultaten Websites, die über eine sichere HTTPS-Verbindung angeboten werden. Per Januar 2017 wird der Chrome Browser vor unsicheren Websites warnen.

Google hat bereits im September 2016 in einem Blogbeitrag angekündigt, dass der Chrome Browser ab Januar 2017 mit der Version 56 vor unsicheren Websites warnen wird. Webseiten, die nicht via eine verschlüsselte HTTPS-Verbindung laufen und in Formularen Felder für Passwörter oder Kreditkarten haben, werden ab dem neuen Jahr mit dem Hinweis «Not Secure» markiert.

Die Implementation in einer aktuellen Chrome Version vs. die angekündigte Warnung (noch deutlicher als in der aktuellen Canary-Version, siehe oben)
Die Implementation in einer aktuellen Chrome Version vs. die angekündigte Warnung (noch deutlicher als in der aktuellen Canary-Version, siehe oben)

Google will aber noch einen Schritt weitergehen und unsichere Websites noch deutlicher mit einem roten Warndreieck kennzeichen.

Damit's auch der Letzte sieht...
Damit's auch der Letzte sieht...

Im Sicherheitsblog von Google steht dazu: 

«Eventually, we plan to label all HTTP pages as non-secure, and change the HTTP security indicator to the red triangle that we use for broken HTTPS.»

Über kurz oder lang werden also alle Websites, die nicht über eine HTTPS-Verschlüsselung verfügen, in Google Chrome als unsicher markiert.

Da der Chrome Browser weltweit einen Marktanteil von rund 50% (Mobile & Desktop / per Oktober 2016 / gemäss StatCounter) und immer noch hohen 29% in der Schweiz (ebenfalls gemäss StatCounter) hat, sollte die Ankündigung von Google ernst genommen werden, will man keine wertvollen Kunden verlieren. Es ist zudem anzunehmen, dass die anderen Browser-Hersteller dem Beispiel von Google folgen werden.

Was tun?

Die grossen Schweizer Hosting Provider wie Hostpoint, Cyon und Metanet bieten alle kostenlose SSL-Zertifikate von «Let's Encrypt» an. Wer seine Website noch nicht auf HTTPS umgestellt hat, sollte dies also schleunigst tun. 

Die HTTPS-Verschlüsselung mit einem SSL-Zertifikat ist in der Regel schnell eingerichtet. Je nach Programmierung der Website müssen am Code noch kleine Änderungen vorgenommen werden. Diese sind meist schnell gemacht.

Bietet der eigene Hosting-Provider keine Möglichkeit für HTTPS-Verbindungen an, rate ich zu einem Wechsel.

Selbstverständlich stehe ich meinen Kunden (und solchen, die es werden möchten) für weitere Informationen gerne zur Verfügung.

Mehr zum Thema:
«Sicheres Surfen dank HTTPS-Verbindung» / 2. Oktober 2015