Webseiten ohne HTTPS werden bald als „unsicher“ markiert

Die Sicherheit in der IT ist in den letzten Jahren zu einem wesentlichen Thema geworden, private wie gewerbliche Anwender gleichermaßen richten ihren Fokus darauf. Das gilt insbesondere bei Online Shopping, viel mehr noch aber bei alltäglichen Banktransaktionen sowie Identifizierungsvorgängen, die gerade durch Fintech-Unternehmen bei C2C-Krediten und anderem zunehmend etabliert werden. Systemseitig sozusagen, also in Form des Browsers als Zugang zum Internet, werden seit längerem verstärkt unsichere Seiten markiert. Daten, die über eine Webseite ohne HTTPS-Verschlüsselung übertragen werden, können leicht von anderen ausgespäht und manipuliert werden.

Google setzt mit dem Chrome 68, einem Release im Juli 2018, auf deutlich verstärkte Alarmzeichen. Nicht erst seit gestern wird Usern angezeigt, dass sie im Begriff sind, Daten über eine ungesicherte Verbindung zu übertragen. Der bisherige Hinweis kommt immer dann, wenn Passwörter oder andere Zugangsmittel auf ungesicherten Webseiten eingegeben werden sollen. Mit dem neuen Release wird nun jede Webseite, die über keine HTTPS-Verschlüsselung verfügt, klipp und klar als „nicht sicher“ gebrandmarkt.

Vier Fünftel der Top 100 Webseiten haben bereits auf HTTPS-Verschlüsselung umgestellt

Dass nun eine Verschärfung des bis dato eher neutral gehaltenen Hinweises initiiert wird, hat seinen Grund. Immer mehr Webseiten, ungeachtet ihrer Relevanz oder Größe, verschlüsseln ihre Datenübertragung mittels SSL. Eine SSL-Verschlüsselung, die bei LANSOL zum absoluten Standard gehört, schützt Anwender effektiv vor dem Ausspähen ihrer Daten. Sie stellt den aktuellen Sicherheitsstandard dar und ist nach jüngsten Zahlungen bereits von über 80 Prozent der größten Webseiten bereits implementiert. Bei Android bzw. Windows kursieren Zahlen im Bereich von 68 Prozent SSL-gesicherter Verbindungen, bei Mac bzw. Chrome OS liegt der Wert mit 78 Prozent deutlich höher.

Exkurs: Was macht eine HTTPS-Verschlüsselung eigentlich?

HTTPS steht für „Hypertext Transfer Protocol Secure“, also ein Kommunikationsprotokoll, das eine verschlüsselte Datenübertragung ermöglicht. Ursprünglich aus dem Hause Netscape stammend, basiert es auf RFC 2818 und stellt die Vertraulichkeit und Integrität einer Verbindung sicher. Eine HTTPS-Verbindung ist nicht nur verschlüsselt, sondern auch authentifiziert. Man-in-the-Middle-Angriffe sowie die Gefahren durch Phishing, also das Abgreifen sicherheitsrelevanter Daten, sollen hierdurch eingedämmt werden. Zentrales Element ist deshalb die Überprüfung der Identität des jeweiligen Verbindungspartners.

HTTPS basiert auf HTTP, die Verschlüsselung funktioniert mittels SSL/TLS. Einerseits wird über das SSL-Handshake-Protokoll eine Identifizierung und Authentifizierung der Kommunikationspartner sichergestellt, danach wird durch asymmetrische Verschlüsselung bzw. Diffie-Hellman-Schlüsselaustausch ein gemeinsam genutzt symmetrischer Sitzungsschlüssel generiert und ausgetauscht. Standardmäßig werden HTTPS-Verbindungen über den Port 443 geleitet. Derartige Serverzertifikate bietet Ihnen LANSOL nach den höchsten Grundsätzen der aktuellen Sicherheitstechnik.

Seltener, aber technisch möglich ist zudem eine Signierung von Client-Zertifikaten, die gemäß X.509.3 erstellt wurden. Auf diese Weise findet eine Authentifizierung des Clients in Bezug auf den Server statt.

Jetzt auf HTTPS-Verschlüsselung umsteigen

Wer weiterhin ohne ausreichende und zeitgemäße Sicherheitsmaßnahmen Webseiten betreibt, droht zunehmend Gefahr zu laufen, abgestraft und negativ gebrandmarkt zu werden. Die Integration eines SSL-Zertifikats ist durch Komfortleistungen, wie sie beispielsweise LANSOL anbietet, absolut kinderleicht. Zudem gibt es sogenannte Mixed-Content-Audits, die dabei helfen, HTTPS in bestehende Portale zu migrieren. Eines der wichtigsten Tools in diesem Segment ist Lighthouse.

💡 Tipp: Als Anwender, der man ja zwangsläufig auch immer selbst ist, kann man schon heute den neuen Warnhinweis in Chrome aktivieren. Hierzu muss im geöffneten Chrome der Befehl „chrome://flags/‘enable-mark-http-as“ eingegeben sowie die Einstellung „Nicht sicher“ aktiviert werden. Des Weiteren gibt es die Möglichkeit, ausgewählte Webseiten, die nicht sicher sind, in derselben Einstellung als „Actively Dangerous“ zu klassifizieren.

Warum eine HTTPS-Verschlüsselung so wichtig ist

Wie oben bereits dargelegt, stellt die SSL-Verschlüsselung einen absoluten Standard dar. Es gibt durch die Anzahl der Integrationsmöglichkeiten sowie der einfachen Verfügbarkeit schlichtweg keinen nennenswerten Grund dafür, auf eine solche Sicherheitsmaßnahme zu verzichten. Der User ist einerseits in jedem Fall darauf vorbereitet, da technisch keine Hürden bestehen, die durch moderne Browser nicht neutralisiert würden. Schließlich stammt das SSL-Protokoll bereits aus den 1990er-Jahren!

Andererseits ist durch den Rückgriff auf solche Standardvarianten der Datenverschlüsselung ein Mindestmaß an Sicherheit gegeben, was durch die hohe Anzahl an ungeschützten, offenen WLAN-Netzwerken absolut angebracht ist. Dass Google in diesem Maße durchgreift und einen wichtigen Schritt in Richtung einer sicheren Webseitenlandschaft wagt, kann nur positiv gewertet werden. Nicht allein aufgrund der theoretisch möglichen Ausspähung, sondern allein durch die höhere Sensibilisierung des Users ist rasches Handeln an dieser Stelle angeraten. LANSOL unterstützt Sie gerne hierbei und bietet Ihnen bedarfsgerecht die Lösungen, die Sie brauchen – vertrauen Sie auf langjährige Expertise und technisches Know-how!