Chrome 68 – Verschlüsselung wird ab dem 24 Juli 2018 ein Standard

Ab dem 24.Juli 2018 werden durch Google Chrome alle Webseiten, ohne gültigen SSL-Zertifikat, direkt und sofort sichtbar für jeden Besucher als unsicher markiert. Damit warnt Google sehr deutlich und konsequent vor der Gefahr und den daraus resultierenden Risiken einer unverschlüsselten Verbindung.

Mit der Veröffentlichung des Chrome Browsers in der Version 68 im Juli dieses Jahres, wird bei jeder Webseite in der Chrome-Browser-Leiste, die kein gültiges SSL-Zertifikat verwendet, eine „Not-Secure“ Warnung angezeigt.


Quelle: security.googleblog.com[1]

Dies kann natürlich dazu führen, dass sich diese Meldung negativ auf das Nutzervertrauen der Website-Besucher auswirkt. Außerdem führt dies dazu, dass das Fehlen von https eine direkte Auswirkung auf die SEO-Rangliste hat. Google möchte mit dieser Umstellung erreichen, dass die Nutzer sensibilisiert werden und sofort erkennen, ob eine Website die geeigneten Sicherheitsmaßnahmen ergriffen hat.

Aktuelle Versionen von Google Chrome kennzeichnen Websites bereits als „Nicht sicher“, wenn die SSL-Verschlüsselung in bestimmten Szenarien nicht richtig eingesetzt wird – wie beispielsweise, wenn Seiten Login-Felder bereitstellen.

Mit der Veröffentlichung von Chrome 68 erweitert Google diese Warnung und zeigt die Meldung „Not Secure“ auf jeder HTTP-Seite an, unabhängig vom Inhalt.

Google nimmt diese Änderung vor, um Nutzer besser vor ungesicherten Verbindungen zu schützen. Somit wird die Gefahr zwar nicht minimiert, dass über sichere Verbindungen Daten abgefangen werden können, aber dadurch, dass nun die Daten verschlüsselt sind, kann der Hacker im Regelfall nichts damit anfangen.

Nun kann sich jeder Website-Betreiber selber ausmalen, welche Folgen eine solche Meldung auf die Besucher des eigenen Auftrittes hat (unabhängig ob es sich um eine E-Commerce Seite handelt oder nicht) oder sogar im Umkehrschluss, welche positiven Effekte es hat, wenn eine solche Meldung nicht erscheint.

Spätestens jetzt ist es Zeit sich darüber Gedanken zu machen mit welchem Zertifikat man die Verbindung absichern möchte, da Google in der ganzen Überlegung der Verschlüsselung den Aspekt der Identitätsprüfung überhaupt nicht hat einfließen lassen.

SECURE IS NOT SAFE

ist schon seit längerer Zeit unsere CertCenter Philosophie zu diesem Thema, das Ihnen zeigen soll, dass es nicht um die reine Verschlüsselung geht. Egal für welches SSL-/TLS-Zertifikat man sich entscheidet, die Verschlüsselung ist immer gewährleistet, aber im Vergleich zu organisationsvalidierten (OV) oder erweitert validierten Zertifikaten (EV), ist bei den domainvalidierten (DV) Zertifikaten keine Identitätsprüfung erfolgt.

Bei Ihren Überlegungen sollte immer mit einfließen, ob man eine reine technologische Lösung, also nur verschlüsseln wählt, oder man dem Besucher der Website durch ein OV- oder EV-Zertifikat anzeigt, dass man von einer unabhängigen dritten Stelle identitätstechnisch geprüft wurde.

 

Bei Fragen zu den unterschiedlichen Zertifikatentypen oder anderen Fragen schreiben Sie uns oder rufen uns direkt an.

Wir von CertCenter freuen uns darauf.

 

Ihr
Luis Federico Reimers
Leiter, Marketing & Vertrieb

 

 

 

[1] https://security.googleblog.com/search?updated-max=2018-03-07T11:47:00-08:00&max-results=10

Facebooktwittergoogle_plusredditpinterestlinkedinmailFacebooktwittergoogle_plusredditpinterestlinkedinmail