Der Google Browser Chrome warnt beim Öffnen einer unverschlüsselten Webseite, dass diese nicht sicher sei. Dies trifft auf Seiten zu, die über das http Übertragsprotokoll ohne SSL Sicherheitszertifikat geöffnet werden und die Möglichkeit der Erfassung von sensiblen Daten bieten.
Man erkennt dies an dem „i“ Symbol in der URL-Leiste. Seit dem Release des Google Chrome Browsers Version 56 im Januar 2017 erscheint zusätzlich die Information „nicht sicher“, falls eine unverschlüsselte Seite empfindliche Daten wie Kreditkartenangaben oder Passwörter abfragt.
Google schreibt in seinem Blog, dass dieses Vorgehen möglicherweise weiter verschärft wird, um die Sicherheit des Users zu gewährleisten.
Mit der Veröffentlichung von Google Chrome 62 ab Oktober 2017 wird nicht nur bei der Möglichkeit der Eingabe von sensiblen Daten gewarnt, sondern bei beliebigen Daten auf einer unsicheren Seite und auch im sogenannten Inkognito-Modus.
Es sieht danach aus, dass Google mittelfristig alle Webseiten ohne SSL-Verschlüsselung abstrafen wird – sei es mit aggressiven Warnmeldungen, aber auch durch Herabstufung im Ranking . Ich empfehle daher, nicht weiter zu warten, sondern so bald wie möglich auf das https Protokoll umzusteigen. Seit Juli 2018 mit Erscheinen von Google Chrome 68 werden nun alle Seiten ohne SSL-Zertifikat als nicht sicher gekennzeichnet.
Laut Google ist der Traffic auf unverschlüsselten Webseiten seit Einführung der Warnungen um 23 % zurück gegangen!
Http steht für Hypertext Transfer Protocol – dies ist die Bezeichnung für ein Übertragungsprotokoll für Daten zwischen Computern – hauptsächlich genutzt bei der Anzeige von Websites im Webbrowser. Dem Standard gemäß erfolgt dies unverschlüsselt.
Dies ermöglicht Angreifern, die vom Besucher eingegebenen Daten auszulesen, z. B. über ein gemeinsam genutztes (öffentliches) WLAN.
Außerdem ist auch die Manipulation durch Viren oder Trojaner, grundsätzlich möglich.
Daher wurde das neuere https Übertragungsprotokoll (Hypertext Transfer Protocol Secure) eingeführt – welchem ein SSL Zertifikat zugrunde liegt.
Let's Encrypt
Let's Encrypt ist eine kostenlose, automatisierte und offene Zertifizierungsstelle (CA), die zum Nutzen der Öffentlichkeit betrieben wird. Es handelt sich um eine Dienstleistung der Internet Security Research Group (ISRG). Die meisten Hoster bieten Ihren Kunden an, teure SSL Zertifikate von kommerziellen Zertifizierungsstellen für ihre Domains einzurichten, aber immer mehr Firmen bieten auch die Möglichkeit die kostenlosen Let's Encrypt SSL Zertifikate zu nutzen. Von der Let's Encrypt Community wird eine inoffizielle, aber sicher unvollständige Liste von Hosting Providern geführt, die ihren Kunden in irgendeiner Form die Möglichkeit geben, die kostenlosen Let's Encrypt Zertifikate zu nutzen. Auch viele deutsche Anbieter bieten diese Lösung bereits an.
Sprechen Sie mich im Zweifel an. Falls Ihr Hosting Anbieter Let's Encrypt nicht anbietet und auch in Zukunft nicht plant, diesen Service anzubieten, kommt vielleicht ein Umzug zu einem anderen Hosting Provider in Frage. Ich kann Sie dabei gerne unterstützen.
