Chrome brandmarkt Websites ohne SSL-Zertifikat immer deutlicher
In den vergangenen Wochen hat Google, der Hersteller des weltweit uneinholbar führenden Browsers Chrome, mitgeteilt, dass bereits in wenigen Monaten Websites, für die kein SSL-Zertifikat zur Verschlüsselung des Datenverkehrs hinterlegt ist, in der Adresszeile sehr deutlich als „Nicht sicher“ gekennzeichnet werden. Unverschlüsselt ausgelieferten Websites und Shops drohen damit herbe Vertrauensverluste. Bereits jetzt wird in allen wichtigen Browsern kenntlich gemacht, ob eine Website über HTTPS ausgeliefert wird, oder nicht. Noch fallen die entsprechenden Hinweise zumeist recht dezent aus. Aber das wird sich bereits in wenigen Monaten ändern. Wir erklären, welche Maßnahmen genau geplant und welche bereits umgesetzt worden sind – und was das konkret für die Betreiber von Websites und Shops bedeutet.
Inhaltsverzeichnis
Was genau ist ein SSL-Zertifikat?
Die Abkürzung SSL steht für „Secure-Sockets-Layer“ und bezeichnet ein Verschlüsselungsprotokoll für den sicheren Datenverkehr im Internet. Während Websites üblicherweise mit dem Hypertext Transfer Protocol (HTTP) übertragen werden, wird für Websites mit einem gültigen SSL-Zertifikat der Standard Hypertext Transfer Protocol Secure (HTTPS) verwendet. Anhand des auf dem Webserver hinterlegten SSL-Zertifikats können die Teilnehmer der Kommunikation (also Browser und Server) einander authentifizieren, anhand eines gemeinsamen Sitzungsschlüssels eine vertrauliche Ende-zu-Ende-Datenübertragung aufbauen und mithilfe kryptographischer Verfahren die Integrität der übertragenen Dateien sicherstellen.
Warum ist es wichtig, den Datenverkehr zu verschlüsseln?
Eine unverschlüsselte Verbindung über HTTP zwischen Client (also dem Nutzer am Browser) und Server ist nicht sicher vor dem Zugriff Dritter. Hacker können sich also unbemerkt in den Datenverkehr einschleichen, nach der Eingabe in Formulare an den Server übertragene Informationen wie Passwörter, Kreditkartendaten oder Online-Banking-Zugangsdaten können so abgeschöpft werden. Zudem besteht die Möglichkeit, dass Websites vor der Darstellung im Browser manipuliert werden. Eine durch ein SSL-Zertifikat verschlüsselte Verbindung über HTTPS ist dagegen vor einem solchen Zugriff Dritter geschützt. Und im Hinblick auf die Suchmaschinenoptimierung einer Website sei betont: Wenn der Datenverkehr über HTTPS läuft, wertet Google das als positiven Rankingfaktor.
Wie wird aktuell vor Websites ohne HTTPS gewarnt?
Bislang wird in den Adresszeilen von Chrome und Firefox noch recht defensiv auf vorhandene oder fehlende SSL-Verschlüsselung hingewiesen. Das heißt, dass Websites, die über HTTPS ausgeliefert werden, prominent als „sicher“ gekennzeichnet werden, während solche, die den Datenverkehr noch über HTTP abwickeln, für Laien keineswegs ausdrücklich als „unsicher“ erkennbar sind.
Chrome | Firefox | |
Mit SSL | ||
Ohne SSL | ||
Loginseite ohne SSL |
Seiten mit SSL-Verschlüsselung werden durch ein grünes Schloss-Symbol und in Chrome zusätzlich durch das Wort „Sicher“ sowie die ebenfalls in Grün hervorgehobene Protokollangabe „https“ gekennzeichnet. Seiten, die noch HTTP verwenden, werden in der Adresszeile beider Browser derzeit noch nicht ausdrücklich markiert, wobei ein Info-Symbol angezeigt wird, über das sich in einem kleinen Overlay Warnung anzeigen lassen.
Schon deutlicher wird derzeit auf Login-Seiten gewarnt, auf denen Benutzername und Passwort abgefragt werden, ohne dass eine SSL-Verschlüsselung besteht. Während in Chrome „Nicht sicher“ in der Adressleiste steht, warnt Firefox auf Anmeldeseiten bereits mit einem rot durchgestrichenen Schloss-Symbol.
Was genau ist aktuell für den Umgang mit HTTP-Websites geplant?
In Chrome (Marktanteil derzeit bei über 62 Prozent, Tendenz steigend) und vermutlich auch in Firefox (Marktanteil noch bei über 10 Prozent, Tendenz fallend – Datenquelle hier) sollen Websites ohne gültiges SSL-Zertifikat schon bald derart deutlich als „nicht sicher“ gekennzeichnet werden, dass es den meisten Nutzern beim Seitenaufruf unmittelbar auffallen wird. Das bedeutet gerade für Unternehmen wie Onlineshops einen echten Vertrauensverlust und dürfte sich negativ auf Reputation und Umsätze auswirken.
Kürzlich wurde für Chrome angekündigt, dass Websites ohne SSL-Verschlüsselung schon bald ziemlich rigide gebrandmarkt werden. Für Chrome wurde per Google Online Security Blog schon jetzt bekannt, dass der Hinweis „Nicht sicher“ mit dem Release von Chrome 68 im Juli 2018 für alle HTTP-Seiten angezeigt werden wird. Das wird peinlich für alle, die ihre Website oder ihren Shop ohne SSL-Zertifikat betreiben. Und es ist anzunehmen, dass weitere Browser nachziehen. Für Firefox wurde ein analoger Schritt bereits Anfang 2017 im Mozilla Security Blog für die unbestimmte Zukunft in Aussicht gestellt und dürfte nun nicht mehr lange auf sich warten lassen. Denn wie lange soll Mozilla es auf sich sitzen lassen, dass Google die Nutzer seines Browsers umsichtiger schützt?
Wie geht es weiter – und was ist jetzt zu tun?
Es ist anzunehmen dass auch in Safari, der gerade dabei ist, Firefox von Platz zwei der am häufigsten eingesetzten Browser zu verdrängen, im Internet Explorer und der von Opera angeführten Gruppe der seltener verwendeten Programme recht bald deutlicher darauf hingewiesen werden wird, wenn eine Website auf SSL-Verschlüsselung verzichtet. Mittelfristig werden sich Seitenbetreiber zunehmend unmöglich machen, wenn sie Daten per HTTP übertragen – und langfristig werden sich die Browser irgendwann womöglich ganz weigern, unverschlüsselte Verbindungen aufzubauen.
Mein Checkout läuft schon über SSL – ist mein Shop damit nicht gerüstet?
Tatsächlich sind derzeit viele Onlineshops so aufgestellt, dass ausschließlich der Checkout – also der „Kassenbereich“, in dem personenbezogene Daten eingegeben und übertragen werden – über eine HTTPS-Verbindung ausgeliefert wird, während die übrigen Seiten des Shops weiterhin per HTTP übertragen werden. Doch vor dem Hintergrund der anstehenden Verschärfungen der Warnhinweise vor Verbindungen ohne SSL-Verschlüsselung in den Browsern wird das künftig nicht mehr ausreichen. Denn die Sicherheit der Verbindung als vertrauensbildende Maßnahme kommt ja gerade dann zum Tragen, wenn der Kunde noch nicht zur Kasse gegangen oder gar eingeloggt ist. Wer schon auf der Startseite, Landingpage, einer Kategorie-, oder Produktseite darüber unterrichtet wird, dass die Verbindung „nicht sicher“ sei, wird sich dadurch kaum zu einem Kauf animiert fühlen. Auch und gerade Onlineshops müssen daher künftig vollständig SSL-verschlüsselt ausgeliefert werden. Die Umstellung der Shopseiten auf HTTPS-URLs muss dabei jedoch unbedingt mit SEO-Begleitung erfolgen, damit Suchmaschinen den Shop nicht als neue Domain einstufen und daraus folgende Einbrüche in den Rankings vermieden werden können.
Fazit
Wer noch kein SSL-Zertifikat einsetzt oder dies bislang nur für Teile einer Website oder eines Shops getan hat, muss unbedingt so schnell wie möglich alle Seiten auf HTTPS umstellen, um drohende Vertrauensverluste durch abschreckende Warnhinweise in Browsern gerade noch rechtzeitig abzuwenden. Das Gute daran: die Umstellung auf HTTPS ist nicht teuer und mit kompetenter SEO-Begleitung auch weder kompliziert noch riskant.