Seit Dienstagabend verteilt Google die neue Version 68 seines Chrome-Browsers. Die wichtigste Neuerung: Chrome warnt dich jetzt direkt in der Adresszeile mit dem Hinweis «Nicht sicher» vor Webseiten, die deine Daten unverschlüsselt im Netz übertragen. Gemeint sind Webseiten, die statt des sicheren HTTPS-Protokolls noch immer unsichere HTTP-Verbindungen nutzen.
Googles Aktion scheint also eine ziemlich vernünftige Sache zu sein, zumal die Webseitenbetreiber mehrere Jahre Zeit hatten, auf eine sichere Verbindung zu wechseln. Google hat bereits 2014 gewarnt, dass man unverschlüsselte Webseiten künftig als unsicher markieren werde.
Nun macht der Internet-Riese also Nägel mit Köpfen. Aber so richtig kapiert haben es noch immer nicht alle Webseitenbetreiber. «Von den weltweit 500 meistbesuchten Websites übertragen nach wie vor rund 20 Prozent die Daten ihrer Nutzer unverschlüsselt im Netz», schreibt der australische IT-Sicherheitsexperte Troy Hunt. Selbst Grossfirmen scheren sich also zum Teil keinen Deut um die Sicherheit und Privatsphäre ihrer Nutzer und Kunden.
Gleichzeitig mit Googles Einführung des HTTP-Prangers im Chrome-Browser haben die beiden IT-Sicherheitsforscher Troy Hunt und Scott Helme die Webseite WhyNoHTTPS.com ins Leben gerufen. Sie ist laut Eigenbeschreibung das «Who-is-Who der grössten Websites der Welt, die unsicheren Datenverkehr nicht auf sichere Verbindungen umleiten».
Auf der Pranger-Liste finden sich bekannte Namen wie Baidu (die grösste Suchmaschine in China), der Expressversand Fedex oder Medien wie BBC.com, Daily Mail und Fox News.
Natürlich gibt es auch bekannte Schweizer Firmen, Organisationen und Universitäten, die es nicht geschafft haben, ihre Webseite über eine sichere Verbindung zu übertragen. Bekannte Namen auf der folgenden Liste sind 20 Minuten, RTS (Télévision Suisse Romande), Meteonews und mehrere Universitäten.
«local.ch verwendet schon seit einigen Monaten https», schreibt Christos Bräunle, Leiter Kommunikation des Online-Telefonbuchs. Man stelle die Webseite über http://local.ch und https://local.ch zur Verfügung, erzwingen aber, wenn immer möglich, den Zugang über https. Allerdings sei es technisch möglich, die Umleitung zu verhindern. «Weil wir uns bewusst sind, dass die vollständige Umstellung auf https noch einige Zeit in Anspruch nehmen wird, sorgen wir in der Zwischenzeit mit HSTS (ein Sicherheitsmechanismus für https-Verbindungen) dafür, dass unsere Nutzer auf unserer Plattform sicher unterwegs sind», so local.ch.
Ähnlich sieht es bei der Webseite der Musik-Show Basel Tattoo aus: «Unsere Webseite ist schon seit Wochen verschlüsselt», schreibt Hannah Mathis von Basel Tattoo.
HTTPS ist ein Kommunikationsprotokoll im World Wide Web, um Daten abhörsicher zu übertragen. Bei nicht verschlüsselten Verbindungen können deine Aktivitäten, sprich eingegebene Formulardaten, gelesene Artikel oder geschaute Videos, problemlos mitgeschnitten werden: Vom Internetprovider, von Geheimdiensten, kriminellen Hackern, System-Administratoren, Familienmitgliedern ...
HTTPS ist eine verschlüsselte Version des HTTP-Protokolls. Der Datenverkehr zwischen Server und Nutzer wird verschlüsselt und damit vor dem Mitschneiden der Daten auf dem Transportweg gesichert – auch eine Manipulation der Inhalte während des Transports wird damit verhindert.
Google setzt schon lange Anreize, damit die Webseitenbetreiber auf HTTPS umstellen. Beispielsweise werden unsichere HTTP-Verbindungen mit einer schlechteren Platzierung in der Google-Suche abgestraft. Die deutliche Warnung in Chrome 68 dürfte viele Firmen dazu bringen, endlich HTTPS zu implementieren.
Die Uni Zürich und andere Seiten haben nun übrigens bereits reagiert und erzwingen HTTPS :) - https://t.co/CQEFzTfZhc via @watson_news und ihr seit Blitzschnell, Hut ab!
— Roberto Mazzoni (@davoser) 25. Juli 2018
Die Uni Zürich und einige andere Webseitenbetreiber wie der Kanton Bern haben reagiert und HTTPS heute (vollständig) aktiviert. D.h. sie erzwingen nun die sicherere Übermittlung der Daten. Manche Webseiten unterstützen das verschlüsselte Protokoll nur, wenn man https:// manuell im Browser einfügt, wieder andere verzichten weiter auf HTTPS.
Eine Website ist nicht "unsicher" nur weil sie Standardverkehr nicht verschlüsselt.