Beginnend mit Chrome 68, Google Chrome labels Alle Nicht-HTTPS-Websites als "Nicht sicher". Nichts anderes hat sich geändert - HTTP-Websites sind genauso sicher wie immer -, aber Google gibt dem gesamten Web einen Schub in Richtung sicherer, verschlüsselter Verbindungen.
In Zukunft plant Google sogar, das Wort "Sicher" aus der Adressleiste zu entfernen. Schließlich sollten alle Websites standardmäßig sicher sein.
Funktionsweise von „sicheren“ HTTPS-Websites
Wenn Sie eine Website besuchen, die verwendet HTTPS-Verschlüsselung In Ihrer Adressleiste sehen Sie das bekannte grüne Schlosssymbol und das Wort "Sicher".
Selbst wenn Sie Kennwörter eingeben, Kreditkartennummern angeben oder vertrauliche Finanzdaten über die Verbindung empfangen, stellt die Verschlüsselung sicher, dass niemand auf dem Weg zwischen Ihrem Gerät und dem Server der Website mithören kann, was gesendet oder die Datenpakete geändert werden.
Dies liegt daran, dass die Website für die Verwendung einer sicheren SSL-Verschlüsselung eingerichtet ist. Ihr Webbrowser verwendet das HTTP-Protokoll, um eine Verbindung zu herkömmlichen unverschlüsselten Websites herzustellen, verwendet jedoch HTTPS - wörtlich HTTP mit SSL -, wenn eine Verbindung zu sicheren Websites hergestellt wird. Websitebesitzer müssen HTTPS einrichten, bevor es auf ihren Websites funktioniert.
HTTPS bietet auch Schutz vor böswilligen Personen, die sich als Website ausgeben. Zum Beispiel, wenn Sie sich auf einem befinden public Wi-Fi hotspot Wenn Sie eine Verbindung zu Google.com herstellen, stellen die Server von Google ein Sicherheitszertifikat bereit, das nur für Google.com gültig ist. Wenn Google nur unverschlüsseltes HTTP verwendet, kann nicht festgestellt werden, ob Sie mit dem echten Google.com oder einer Betrüger-Website verbunden sind, die Sie austricksen und Ihr Passwort stehlen soll. Beispielsweise kann ein böswilliger WLAN-Hotspot Personen auf diese Art von Betrüger-Websites umleiten, während sie mit dem öffentlichen WLAN verbunden sind.
(Technisch gesehen überprüft dies nicht die Identität sowie EV-Zertifikate (Extended Validation) . Es ist jedoch besser als nichts!)
HTTPS bietet auch andere Vorteile. Mit HTTPS kann niemand den vollständigen Pfad der von Ihnen besuchten Webseiten sehen. Sie können nur die Adresse der Website sehen, zu der Sie eine Verbindung herstellen. Wenn Sie also auf einer Seite wie example.com/medical_condition über einen medizinischen Zustand lesen, kann sogar Ihr Internetdienstanbieter nur erkennen, dass Sie mit example.com verbunden sind - nicht über welchen medizinischen Zustand Sie lesen . Wenn Sie Wikipedia besuchen, können Ihr ISP und alle anderen nur sehen, dass Sie Wikipedia lesen, nicht, worüber Sie lesen.
Sie können erwarten, dass HTTPS langsamer als HTTP ist, aber Sie würden sich irren. Entwickler haben an neuen Technologien wie gearbeitet HTTP/2 Um das Surfen im Internet zu beschleunigen, ist HTTP / 2 jedoch nur für HTTPS-Verbindungen zulässig. Dies macht HTTPS schneller als HTTP.
Warum Websites "nicht sicher" sind, wenn sie nicht verschlüsselt sind
Traditionelles HTTP wird immer länger. Aus diesem Grund wird in Chrome 68 in der Adressleiste die Meldung "Nicht sicher" angezeigt, während Sie eine unverschlüsselte HTTP-Site besuchen. Zuvor zeigte Chrome nur ein informatives "i" in einem Kreis. Wenn Sie auf den Text "Nicht sicher" klicken, sagt Chrome "Ihre Verbindung zu dieser Website ist nicht sicher".
Chrome gibt an, dass die Verbindung nicht sicher ist, da keine Verschlüsselung zum Schutz der Verbindung vorhanden ist. Alles wird im Klartext über die Verbindung gesendet, was bedeutet, dass es anfällig für Schnüffeln und Manipulationen ist. Wenn Sie private Informationen wie Passwort oder Zahlungsinformationen in eine solche Website eingeben, kann jemand darauf zugreifen, wenn diese über das Internet übertragen wird.
Die Benutzer können auch die Daten anzeigen, die die Website an Sie sendet. Selbst wenn Sie nur im Internet surfen, können Lauscher genau sehen, welche Webseiten Sie gerade ansehen. Ihr Internetdienstanbieter weiß auch genau, auf welchen Webseiten Sie sich gerade befinden, und kann diese Informationen zur Verwendung bei der Anzeigenausrichtung verkaufen. Andere Personen im öffentlichen WLAN des Coffeeshops könnten auch sehen, was Sie gerade sehen.
Eine unverschlüsselte Website ist auch anfällig für Manipulationen. Wenn jemand zwischen Ihnen und der Website sitzt, kann er die Daten ändern, die die Website an Sie sendet, oder die Daten ändern, die Sie an die Website senden, und einen Man-in-the-Middle-Angriff ausführen. Dies kann beispielsweise auftreten, wenn Sie einen öffentlichen WLAN-Hotspot verwenden. Der Betreiber des Hotspots kann Ihr Surfen ausspionieren und persönliche Daten erfassen oder den Inhalt der Webseite ändern, bevor er Sie erreicht. Beispielsweise könnte jemand Malware-Download-Links in eine legitime Download-Seite einfügen, wenn diese Download-Seite über HTTP anstelle von HTTPS gesendet wurde. Sie könnten sogar eine gefälschte Betrüger-Website erstellen, die vorgibt, eine legitime Website zu sein. Wenn die legitime Website kein HTTPS verwendet, können Sie nicht feststellen, dass Sie mit einer gefälschten und nicht mit der echten Website verbunden sind.
Warum hat Google diese Änderung vorgenommen?
Google und andere Webunternehmen, einschließlich Mozilla haben eine langfristige Kampagne durchgeführt, um das Web von HTTP auf HTTPS zu verschieben. HTTP wird jetzt als veraltete Technologie angesehen, die Websites nicht verwenden sollten.
Ursprünglich verwendeten nur wenige Websites HTTPS. Ihre Bank und andere vertrauliche Websites verwenden HTTPS. Sie werden auf eine HTTPS-Seite weitergeleitet, während Sie sich mit einem Kennwort auf Websites anmelden und Ihre Kreditkartennummer eingeben. Aber das war es.
Damals kostete die Implementierung von HTTPS für Websitebesitzer etwas Geld, und sichere HTTPS-Verbindungen waren langsamer als HTTP-Verbindungen. Die meisten Websites verwendeten nur HTTP, aber das ermöglichte das Aufspüren und Manipulieren der Verbindung. Dies machte die Verwendung öffentlicher WLAN-Hotspots riskant.
Um Datenschutz, Sicherheit und Identitätsprüfung zu gewährleisten, wollten Google und andere das Web auf HTTPS umstellen. Sie haben dies in vielerlei Hinsicht getan: HTTPS ist dank neuer Technologien jetzt noch schneller als HTTP, und Websitebesitzer können kostenlose SSL-Zertifikate erhalten, um ihre Websites von gemeinnützigen Organisationen zu verschlüsseln Verschlüsseln wir . Google bevorzugt Websites, die HTTPS verwenden, und bewirbt diese in den Google-Suchergebnissen.
Laut 75% der in Chrome unter Windows besuchten Websites verwenden jetzt HTTPS Google-Transparenzbericht . Jetzt ist es an der Zeit, den Schalter umzulegen und Benutzer von HTTP-Websites zu warnen.
Nichts hat sich geändert - HTTP hat immer noch die gleichen Probleme wie immer. Es wurden jedoch genügend Websites auf HTTPS umgestellt, um Benutzer vor HTTP zu warnen und Websitebesitzer zu ermutigen, nicht mehr mit den Füßen zu ziehen. Durch die Umstellung auf HTTPS wird das Web schneller und gleichzeitig die Sicherheit und der Datenschutz verbessert. Außerdem werden öffentliche WLAN-Hotspots sicherer.
