Im letzten Beitrag haben wir noch die unterschiedlichen Arten von SSL-Zertifikaten beschrieben und darauf hingewiesen, dass Webseiten mit Eingabeformular für Kundendaten nicht auf HTTPS verzichten sollten. Jetzt legt Google noch einmal nach und hat im Chromium Blog angekündigt, dass der Chrome-Browser ab Version 68, die im Juli erscheinen soll, prinzipiell alle Webseiten ohne Verschlüsselung als unsicher markieren wird. Im Grunde genommen werden auch jetzt schon Webseiten ohne HTTPS als unsicher gekennzeichnet, wenn auch nicht auf den ersten Blick. Erst ein Klick auf das i-Symbol in der Adressleiste offenbart die Information, dass es sich um eine unsichere Verbindung handelt. Offensichtlicher wird es bei Webseiten, auf denen sich Besucher mit ihrem Passwort anmelden bzw. ihre Kreditkartennummer oder andere persönliche Daten eingeben können. Ohne SSL-Zertifikat werden diese als „nicht sicher“ angezeigt. Diese Art der Anzeige soll in Zukunft für alle Webseiten ohne HTTPS gelten. Im Gegensatz dazu werden HTTPS-Seiten als „sicher“ gekennzeichnet und bekommen zusätzlich noch ein grünes Schloss-Symbol. Auch im Firefox-Browser wird mit einem Klick auf das i-Symbol in der Adressleiste bei allen Webseiten ohne verschlüsselten Datenaustausch immer auf die Unsicherheit der Verbindung hingewiesen. Webseiten ohne SSL-Zertifikat, aber mit der Möglichkeit zur Dateneingabe, werden zusätzlich mit einem durchgestrichenen schwarzen Schloss markiert. Mit der aktuellen Ankündigung setzt Google die Webseiten-Betreiber weiter unter Druck und forciert die Umstellung auf HTTPS. Dabei galt bis jetzt der Grundsatz, dass man für rein informative Webseiten, die keine persönlichen Daten erfassen, auf ein SSL-Zertifikat verzichten kann. Das könnte sich ab Juli ändern. Allein die Anzeige, dass die Seite „nicht sicher“ ist, könnte Besucher im wahrsten Sinne des Wortes verunsichern. Es sieht so aus, als würde Google Ende-zu-Ende-Verschlüsselung zum allgemeinen Standard für alle Webseiten machen wollen, ganz gleich welche Daten übertragen werden. Ein in diesem Zusammenhang oft genanntes Argument ist, dass mit einem SSL-Zertifikat auch die Identität der Website überprüft wird, was den Benutzer vor gefälschten Inhalten schützt. Allerdings sind inzwischen auch viele kriminelle Phishing-Webseiten mit HTTPS ausgestattet. Schließlich ist ein Domain-validiertes Zertifikat schnell und preiswert zu haben. Ein prüfender Blick in die URL könnte solche Seiten zwar immer noch als Fälschung entlarven, aber wer schaut noch so genau hin, wenn die Seite im Browser als „sicher“ angezeigt wird? Deshalb nutzen die meisten Finanzinstitute und andere Anbieter, für die es ganz besonders auf Vertrauen ankommt, SSL-Zertifikate mit erweiterter Organisationsvalidierung. Dann wird in der Adressleiste farblich hervorgehoben auch noch der Name der Organisation angezeigt. Bisher war allein das Schloss-Symbol Ausdruck dafür, dass persönliche Daten verschlüsselt übertragen werden und dass man darauf vertrauen kann, dass sie auch beim richtigen Empfänger ankommen. Wenn jetzt HTTPS quasi der neue Standard im Web wird, den allerdings auch Kriminelle für gefälschte Webseiten nutzen, dann könnten SSL-Zertifikate mit erweiterter Validierung wegen der Zusatzinformationen in der Adressleiste zum neuen Standard für die Übertragung vertraulicher Daten werden. Die Qualität der Verschlüsselung ist bei den meisten Zertifikaten zwar identisch, doch lassen sich die Zertifizierungsstellen den Aufwand für die umfangreichere Identitätsprüfung gut bezahlen. Das hört sich nach einem guten Geschäft an, aber ob es auch der Weisheit letzter Schluss ist, wird sich zeigen. Unabhängig vom Sicherheitsaspekt hat eine flächendeckende Umstellung auf HTTPS aber noch einen anderen Vorteil: Es hilft bei der Verbreitung des neuen HTTP/2-Protokolls. Da alle Browser HTTP/2 nur verschlüsselt unterstützen, können die (Geschwindigkeits-)Vorteile des neuen Standards nur im Zusammenspiel mit HTTPS ihre Wirkung entfalten. Mehr dazu steht in diesem Beitrag.