Wie vermeidet man die „Nicht sicher“-Meldung in Chrome und was kann man dagegen machen. Webseiten ohne TLS/SSL werden ab 2019 von Chrome als nicht sicher angezeigt und wir zeigen wie man dies vermeidet.
Index
Die Art und Weise, wie Google Chrome mit HTTP-Webseiten umgeht, hat sich Anfang des Jahres folgeträchtig geändert. Als ersten Schritt von vielen wird seitdem die Verschlüsselung der eigenen Webseite mit Hilfe von TLS/SSL verlangt. Um die Sicherheitsstandards im Netz zu verbessern und auf Sicherheitslücken aufmerksam zu machen, zeigt der Chrome-Browser von Google nun wenn dieses Zertifikat nicht vorhanden ist eine Meldung an, die Nutzer zutiefst verunsichern kann: „Dies ist keine sichere Verbindung“.
Dieser Schritt ist nachvollziehbar. Ohne TLS/SSL-Verschlüsselung können Passwörter und Kreditkarteninformationen unkompliziert von Dritten ausgelesen werden. Daher geht der zweite Schritt auf Googles Weg zu mehr Sicherheit mit Google Chrome noch weiter. Seit ab Ende Oktober Version 62 des beliebten Browsers im Umlauf ist, sind zwei wichtige Updates eingebunden. Das eine sorgt dafür, dass alle Seiten, die mit unverschlüsseltem HTTP arbeiten, im Inkognito-Modus des Browsers als „Nicht sicher“ gebrandmarkt werden. Diese Meldung findet sich rot eingefärbt in der Adresszeile. Die zweite Veränderung betrifft auch das reguläre Surfen mit Google Chrome: Befindet man sich auf einer HTTP-Seite und beginnt, Informationen einzugeben, blendet Chrome ebenfalls in der Adresszeile das „Nicht sicher“-Emblem ein.[1]
Warum macht Google das? Emily Schechter vom Google Security Blog erklärt das Vorgehen: „Wenn Chrome-Nutzer den Inkognito-Modus verwenden, erwarten sie eine größere Privatsphäre. HTTP kann das jedoch nicht gewährleisten, für andere Nutzer im selben Netzwerk ist das eigene Surfen nicht geschützt. Daher werden ab Version 62 des Chrome-Browsers Nutzer gewarnt, wenn Sie eine HTTP-Seite im Inkognito-Modus aufrufen.“[2] Außerdem sei auch beim regulären Surfen nicht gewährleistet, dass Daten auf HTTP-Webseiten nicht von Dritten abgegriffen werden. Schechter erklärt zudem, dass nicht nur Passwörter und Kreditkarteninformationen geheim bleiben sollten. Alles, was Nutzer auf Webseiten eingeben, solle für andere im selben Netzwerk nicht einsehbar sein. Des Weiteren werden noch mehr Veränderungen angekündigt: „Auf lange Sicht planen wir, die „Nicht sicher“-Meldung auf allen HTTP-Seiten anzuzeigen – auch außerhalb des Inkognito-Modus.“[3]
Diesen finalen Schritt bestätigt auch das Chromium-Projekt, auch wenn zuvor noch weitere Zwischenschritte angekündigt sind.[4] Faktisch implementiert Google damit einen neuen Standard für Web-Sicherheit: Wer ohne HTTPS unterwegs ist, wird die Sicherheit abgesprochen. Potentielle Kunden werden durch die Meldung abgeschreckt. Der Effekt einer solchen Ausgrenzung ist dabei enorm, schließlich erfolgt in Deutschland laut einer Bloggerinitiative jeder vierte Seitenaufruf bereits durch den aktuellen Chrome-Browser in Version 62.[5] Plausibel erscheint das besonders vor dem Hintergrund, dass Chrome weltweit einen Marktanteil von knapp 60% vorweisen kann – Tendenz steigend![6] Google dominiert mit Chrome den Browser-Markt und kann dadurch faktisch Standards vorgeben. Wann sich daher HTTPS als solcher etabliert, bleibt nur eine Frage der Zeit.
Was ist eigentlich HTTPS?
Auch wenn Google sich bei Manchen unbeliebt machen mag, weil sie HTTPS so pushen, rütteln sie damit nicht an dem Konzept Hypertext Transfer Protocol (HTTP). Denn HTTPS basiert auf diesem: Es ist dasselbe Protokoll zur Übertragung von Daten – ergänzt um eine extra Verschlüsselung zur Datensicherheit. Diese nennt sich „Transport Layer Security“ (TLS), oder ehemals „Secure Socket Layer“ (SSL). Genauer gesagt wird TLS/SSL verwendet, um die Verbindung zwischen Web-Servern und Clients zu verschlüsseln. Dadurch wird verhindert, dass hier übertragene Informationen von Dritten eingesehen werden können. Dazu gehört alles, was auf einer Website an Daten eingegeben wird: Namen, Passwörter, Kreditkarteninformationen und vieles mehr.
Aus diesem Grund kaufen Unternehmen TLS/SSL-Zertifikate, die erzwingen, dass beim Aufrufen einer Webseite die Kommunikation zwischen dem Client beziehungsweise Nutzer und Server nur über HTTPS stattfindet. Für Webseiten-Betreiber ist das die einfachste Art und Weise, für eine sichere Übertragung aller Daten zu sorgen und den Zugriff Dritter auszuschließen.
Mehr dazu:
SEO Grundlagen – Was ist HTTPS?
Warum braucht meine Website HTTPS?
Vereinfacht ausgedrückt: Damit Ihren Kunden niemand über die Schulter schaut, wenn sie ihr Passwort eingeben. Auch wenn das Ganze an dystopische Kinofilme erinnert, passiert das Abgreifen von Daten mittels schlecht gesicherter Websites jeden Tag. Dabei steht außer Frage, dass Cyberkriminalität lukrativ ist und der Markt ständig wächst. Schon 2015 verzeichnete Google eine Steigerung der Anzahl der nachweislich gehackten Websites um 180 %.[7]
Um das zu verhindern setzt der Suchmaschinenanbieter auf eine bessere Sicherung von Websites. HTTPS ist dafür das Mittel der Wahl, schließlich lässt sich eine HTTP-Seite meist unkompliziert aufrüsten. t3n beispielsweise erklärt das Vorgehen für WordPress-Websites. Um das zu erreichen, setzt Google auf Zuckerbrot und Peitsche. Über Chrome werden HTTP-Seiten als „Nicht sicher“ markiert, die hauseigene Suchmaschine verschafft HTTPS-Seiten hingegen ein besseres Ranking.[8]
Wie kann ich meine Website sicherer machen?
HTTPS wird der neue Standard. Wenn Google sich die Websicherheit auf die Fahne schreibt, gibt es für andere kaum die Möglichkeit, diesem Trend nicht zu folgen. Das heißt aber noch lange nicht, dass Sie einen komplett neuen Webauftritt brauchen. In drei für Laien durchführbaren Schritten finden Sie heraus, was zu tun ist.
Schritt 1: Überprüfen Sie, welches Protokoll Sie benutzen
Wir gehen zunächst ganz einfach vor: Die Neuerungen in Chrome nutzen wir zu unserem Vorteil und geben einfach die eigene URL in die Adresszeile des Browsers ein. Erscheint ein kleines grünes Schloss vor dem Wort „Sicher“, nutzen Sie schon HTTPS. Ihre Website ist sicher, wird von Google bevorzugt gerankt und Sie müssen sich keine Gedanken um die Datensicherheit Ihrer Kunden machen. Leuchten die Worte „Nicht sicher“ rot vor der URL, sollten Sie definitiv weiterlesen, denn Sie nutzen HTTP. Ihrer Homepage fehlt die TLS/SSL-Verschlüsselung.
Wollen Sie Chrome nicht extra installieren, falls Sie es nicht benutzen, überprüfen Sie einfach, ob sich „http://“ oder „https://“ vor Ihrer WWW-Adresse einblendet. Noch ein Tipp für Chrome-Nutzer: Stellen Sie vorweg sicher, dass Sie die aktuelle Version des Browsers nutzen. Ein Update auf Chrome 62 ist schnell gemacht und nur so erhalten sie die „Nicht sicher“-Warnung, wenn Sie HTTP-Seiten aufrufen.
Schritt 2: Reden Sie mit Ihrem IT- oder Web-Team bzw. Dienstleister
Manchmal gehen Details, wie das Chrome-Update, im Alltag verloren. Reden Sie daher mit Ihren Experten und stellen Sie sicher, dass sich alle der Neuerungen bewusst sind, die das Update mit sich bringt. Vielleicht haben Sie schon Pläne für Anpassungen, vielleicht stoßen Sie sie aber auch erst auf das Problem. Nutzen Sie noch http, sollten die Verantwortlichen darüber bereits informiert worden sein: Mitte August wurden per Google Search Console alle Betreiber von HTTP-Seiten mit Dateneingabemöglichkeit benachrichtigt. Mit Verweis darauf lässt sich leicht ein Gespräch eröffnen.
Sie haben jedoch keine Garantie, dass Ihre Website bei Googles Check bereits aufgefallen ist. Ist sich Ihr Team der Sache nicht bewusst, finden Sie hier ein paar Informationen um Sie zu briefen. Zuerst von Chrome selbst, hier folgenden die nächsten Schritte und beim Chromium-Projekt, dem Open-Source-Ableger von Chrome, finden sich die einzelnen Phasen der Security-Neuerungen in der Übersicht.
Folgende Fragen sollten in Zuge dessen geklärt werden:
- Wie steht Ihr Unternehmen zu der Problematik Websicherheit?
- Wer ist für die Inhalte, die Updates und die Sicherheit der Webseite(n) verantwortlich?
- Welche internen Projekte laufen bereits zur Thematik Cyber Security?
- Wer ist für die Implementierung und Pflege der TLS/SSL-Zertifikate verantwortlich?
- An welche Sicherheitsstandards muss sich das Marketing halten, wenn Sie die Firmenwebsite bearbeiten?
- Wie werden neue Technologien und Plug-Ins überprüft, bevor sie auf der Seite implementiert werden?
- Welche externen Dienste und Plattformen greifen auf Ihre Website zu?
Schritt 3: Überprüfen Sie Ihre Plug-Ins und Dienstleister
Auch wenn Sie alles getan haben, Ihre Seite(n) bestmöglich abzusichern, haben Sie nur Einfluss auf die Inhalte, die Sie auch selbst verwalten. Die allermeisten Webauftritte kommen jedoch nicht ohne die Einbindung der Dienste Dritter zurecht. Das passiert meist in Form sogenannter Plug-Ins. Über Plug-Ins laufen viele Dienste, ohne dass es technisch weniger versierten Nutzern bewusstwird. E-Mails werden mitunter über solche abgewickelt, Ihre Marketing-Tools lesen wahrscheinlich über Plug-Ins die Daten auf Ihrer Seite aus und auch Ihr Content-Management-System wird so auf Ihre Website zugreifen. All das sind Dienste von Dritten, auf deren Sicherheitsstandards Sie keinen Zugriff haben. Überprüfen Sie daher Ihre Plug-Ins auf Ihren Umgang mit Daten und Ihre Sicherheitssysteme.
Kritisch wird es auch, wenn Sie auf die Seiten Ihrer Dienstleister und Partner verlinken. So wird den Besuchern Ihrer Seite mitunter nicht bewusst, dass Sie Ihre Website verlassen haben und Sie nicht mehr für die Inhalte verantwortlich sind. Verlinken Sie daher nur auf Webseiten, die HTTPS als Protokoll verwenden, um unnötige Irritationen zu vermeiden. Eine solches Überprüfen der Verlinkungen kann noch ganz andere Vorteile mit sich bringen: Häufig werden Sie dabei sogenannte „Dead Links“ finden, die auf Webseiten führen, die es schon lange nicht mehr gibt. So ins Leere zu verlinken lässt sich mit einem solchen regelmäßigen Link-Check vermeiden und überflüssige Links können aussortiert werden. Der Wirtschaftsuniversität Athen zufolge sind 40 bis 50 % der URLs schon nach vier Jahren nicht mehr erreichbar.[9]
Und wenn all das nicht geholfen hat?
Sie haben immer noch zwei Möglichkeiten.
Erstens: Lassen Sie einfach alles so, wie es ist.
Sie sind nicht der Einzige. Von den 100 meistbesuchten Websites in Deutschland setzen 2017 erst 71 auf HTTPS.[10] Zwar ist das der Löwenanteil, aber dennoch wird deutlich, dass es auch unter den bekanntesten Seiten noch zahlreiche HTTP-basierte gibt. Zudem nutzt bei Weitem nicht jeder Chrome und erhält damit auch die „Nicht sicher“-Warnung. Vielleicht setzen gerade Ihre Kunden eher auf den Apple-Browser Safari. Je nach Zielgruppe, gibt es auch hier unterschiedliche Präferenzen.
Zweitens: Rüsten Sie auf.
Beauftragen Sie Ihr Team mit der Sicherung Ihrer Website oder legen Sie selbst Hand an, denn große IT-Kenntnisse sind dafür gar nicht von Nöten. Mit etwas Glück hat sogar Ihr Hosting-Anbieter eigene Zertifikate im Angebot oder kann Sie vermitteln, sodass Sie unkompliziert eine Zertifizierung erhalten können. 1&1 beispielsweise bietet SSL-Zertifikate bereits für 0,99 € im Monat an und auch Strato hat über den Partner Symantec Zertifikate im Angebot. Wer es sogar noch günstiger haben will, der kann auch auf von Let’s Encrypt ein kostenloses Zertifikat bekommen.
Fazit
Google macht HTTPS im Alleingang zum neuen Standard in der Websicherheit. Aber lassen Sie sich nicht verunsichern: Zum einen nutzt lange nicht jeder Chrome und bekommt eine „Nicht sicher“-Meldung angezeigt, wenn er eine Seite ohne TLS/SSL-Verschlüsselung aufruft. Zum anderen lässt sich HTTPS leicht nachrüsten – auch ohne IT-Kenntnisse.
Quellen
[1] https://www.chromium.org/Home/chromium-security/marking-http-as-non-secure, Abruf: 17.12.2017
[2] https://security.googleblog.com/2017/04/next-steps-toward-more-connection.html, Abruf: 17.12.2017
[3] ebenda
[4] https://www.chromium.org/Home/chromium-security/marking-http-as-non-secure, Abruf: 17.12.2017
[5] https://www.browser-statistik.de/statistiken/, Abruf: 18.12.2017
[6] https://de.statista.com/statistik/daten/studie/157944/umfrage/marktanteile-der-browser-bei-der-internetnutzung-weltweit-seit-2009/, Abruf: 18.12.2017
[7] https://webmaster-de.googleblog.com/2016/05/so-sind-wir-2015-gegen-webspam.html, Abruf: 18.12.2017
[8] https://www.heise.de/newsticker/meldung/HTTPS-Verschluesselung-verbessert-Google-Ranking-2287896.html, Abruf: 21.12.2017
[9] https://www.spinellis.gr/pubs/jrnl/2003-CACM-URLcite/html/urlcite.html, Abruf: 21.12.2017
[10] https://www.heise.de/security/meldung/Google-Transparenzbericht-HTTPS-Traffic-nimmt-weltweit-zu-3870427.html, Abruf: 21.12.2017
Die Kommentarfunktion ist geschlossen.