Google stuft HTTP-Verbindungen als nicht vertrauenswürdig ein
Achtung an alle Seitenbetreiber: Ab Juli wird Google im Chrome-Browser alle unverschlüsselten HTTP-Webseiten deutlich als unsicher kennzeichnen.
Seit einigen Jahren wiederholt Google immer wieder, dass Seitenbetreiber unbedingt HTTPS einsetzen sollen. Denn Google ist sich sicher: „A secure web is here to stay“, das sichere Netz wird bleiben.
Bereits 2014 hat Google angekündigt, Webseiten mit einem SSL-Zertifikat zukünftig vorrangig in den Suchergebnissen erscheinen zu lassen. Eine unverschlüsselte Seite landet unter Umständen auf den hinteren Suchergebnisseiten. Es gibt aber kaum Belege, dass dies schon geschehen ist.
HTTPS wird inzwischen von vielen Seiten genutzt
Seit einiger Zeit markiert Googles Hausbrowser Chrome HTTPS-Seiten mit einem grünen Schloss und dem Text „Sicher“. Bei HTTP-Verbindungen erscheint bisher nur ein neutrale i-Symbol in der Adressleiste. Erst ein Klick darauf öffnet einen Warnhinweis. Dieser Hinweis soll ab Juli 2018 mit dem Erscheinen von Chrome 66 viel deutlicher ins Auge fallen. Neben dem i steht dann ein breites „Not secure“, unsicher.
Googles Empfehlung, ein Sicherheitszertifikat in der eigenen Website zu integrieren, wurde in den letzten Jahren angenommen: Laut Google-Statistik ist bereits 68 Prozent des Chrome-Traffics unter Windows und Android verschlüsselt. Unter Chrome OS und macOS sind es sogar 78 Prozent. Von den Top-100-Websites nutzen 81 HTTPS – ein guter Wert!
Doch Chrome sortiert aus
Aus Googles Sicht ist jedoch nicht jede SSL-verschlüsselte Seite sicher: Mit Chrome 66 und 70 will das Unternehmen gut hunderttausend der wichtigsten Domains das Vertrauen entziehen. Nutzer werden gewarnt, wenn der Browser auf ein Symantec-Zertifikat trifft, das vor dem 1. Juni 2016 ausgestellt wurde. Mit Chrome 70 werden sogar alle Verbindungen mit Symantec-Zertifikat als unsicher eingestuft.
Damit nutzt Google den Chrome-Browser als Denkzettel gegen Symantec. Der Zertifikatsausteller hat unberechtigterweise Zertifikate auf tausende von Domains ausgestellt. Auch google.com war unter diesen Seiten – ein Vergehen, dass Google so nicht hinnehmen will.