Alle sechs Wochen veröffentlicht Google neue Versionen seines Browsers Chrome. Doch während die meisten dieser Updates von den Nutzern weitgehend unbemerkt bleiben, nimmt der Softwarehersteller nun eine Änderung vor, die auch so manchem Websitebetreiber Kopfschmerzen bereiten dürfte.

Nicht sicher

Mit Chrome 68 markiert der Browser nun sämtliche Seiten als "nicht sicher", die ihre Daten unverschlüsselt übertragen. Eine entsprechende Warnung wird deutlich sichtbar neben der Adresszeile platziert. Von dieser Maßnahme sind auch einige große Seiten in Österreich betroffen. So liefert etwa der Wiener Flughafen bis heute seine Seite von Haus aus unverschlüsselt aus, selbiges gilt für wetter.at.

Doch während die genannten Seiten zumindest optional eine HTTPS-Variante anbieten, gibt es auch andere, die bisher überhaupt keine verschlüsselte Variante betreiben. In diese Kategorie fällt die Onlineausgabe der Gratiszeitung "Heute", die alle ihre Nutzer fix auf eine Verbindung umleitet, bei der sämtliche Daten im Klartext übertragen werden. Noch unerfreulicher ist die Lage beim Webauftritt des AMS, das beim manuellen Aufruf von https://ams.or.at auf eine Login-Maske von IBM iNotes weiterleitet. Die Vermutung liegt nahe, dass diese Seite so nicht öffentlich verfügbar sein sollte.

Viele österreichische Medien haben in den vergangenen Monaten ihre Webseiten komplett auf HTTPS-Übertragung umgestellt. Dazu zählt auch derStandard.at, erst vor wenigen Tagen hat sich auch orf.at in diese Liste gesellt. Neben heute.at fallen noch oe24.at und der Webauftritt der "Tiroler Tageszeitung" aus diesem Rahmen.

Hintergrund

HTTPS sorgt dafür, dass die Übertragung der Daten zwischen dem Browser des Nutzers und dem Server des Webseitenbetreibers verschlüsselt erfolgt. Dadurch wird sichergestellt, dass Dritte, die Zugriff auf die Datenleitung haben, nicht im Detail nachvollziehen können, was die Nutzer im Netz so tun.

Die Bestrebungen von Google und anderen Softwareherstellern, HTTPS zum Standard zu machen, sind denn auch nicht zuletzt auf die Snowden-Enthüllungen zurückzuführen, die eine massenhafte Überwachung des Internets dokumentieren. Die Nutzung von HTTPS hat aber noch einen zweiten Vorteil, der gerade bei Nachrichtenseiten zum Tragen kommt, stellt die verschlüsselte Übertragung doch sicher, dass die Nutzer auch tatsächlich zu lesen bekommen, was die jeweilige Webseite an Inhalten ausliefert. Bei der alten Übertragung im Klartext ist es für Angreifer ein Leichtes, Inhalte von Webseiten auf dem Weg zu den Nutzern zu manipulieren oder sogar Werbung und Schadsoftware einzufügen.

Dass sich HTTPS nicht früher verbreitet hat, liegt nicht zuletzt daran, dass die Verschlüsselung eine zusätzliche Last für Serverbetreiber darstellt. Doch während dies in früheren Jahren tatsächlich ein relevanter Faktor war, sind die Unterschiede mittlerweile weitgehend vernachlässigbar oder wurden gar ganz kompensiert. Zudem ist es dank Projekten wie Let's Encrypt auch wesentlich einfacher geworden, an die für HTTPS notwendigen Zertifikate zu kommen – und zwar in diesem Fall auch noch kostenfrei. Auch haben sich die Browserhersteller darauf verständigt, gewisse besonders sensible neue Funktionen nur mehr für HTTPS-Verbindungen anzubieten, was den Anreiz für Webentwickler weiter erhöht hat.

Zahlenmaterial

Die Verbreitung von HTTPS hat in den letzten Jahren große Fortschritte gemacht, so erfolgen laut Google mittlerweile mehr als 80 Prozent sämtlicher Seitenaufrufe mit Chrome über verschlüsselte Verbindungen. Die größten Webseiten der Welt setzen schon länger exklusiv auf HTTPS, Ausnahmen bilden hier vor allem chinesische Webplattformen wie Baidu und QQ.com. Das größte internationale Medium ohne HTTPS-Unterstützung ist die britische BBC, auch der deutsche "Spiegel" und das US-amerikanische Fox News fallen aus dem Rahmen.

Die Kennzeichnung von reinen HTTP-Seiten als "nicht sicher" ist übrigens nicht der letzte Schritt in den diesbezüglichen Umbauten bei Chrome. In den nächsten Versionen soll dann auch noch das grüne Icon bei HTTPS-Seiten verschwinden, womit man signalisieren will, dass diese Art der Übertragung Standard ist. Zudem wird mit Chrome 70 die Warnung vor nichtverschlüsselter Kommunikation noch einmal verschärft, indem diese in roter Schrift dargestellt wird.

Beim Konkurrenten Mozilla unterstützt man zwar prinzipiell Maßnahmen, um HTTPS weiter zu verbreiten, einen konkreten Zeitplan für eine ähnliche Warnung vor unverschlüsselten Verbindungen gibt es aber derzeit noch nicht. Microsoft verweist im eigenen Browser Edge bisher zumindest in den Details zu einer Seite schon vor den Gefahren von reinen HTTP-Übertragungen, während Apples Safari bisher keinerlei Schritte in diese Richtung unternommen hat. (Andreas Proschofsky, 24.7.2018)