goneo Blog

Chrome 68 ist da und damit ein Feature, das User vor „unsicheren“ Webseiten warnen will. Inzwischen gibt es auch die deutsche Version des Google-Desktop-Browsers.

Mit Chrome 68 führt Google eine Warnung vor Seiten ein, die über http aufgerufen werden und nicht über das sicherere https. Diese Variante setzt ein Zertifikat voraus, das von einer Organisation herausgegeben wird, der Serverbetreiber und Browserbenutzer vertrauen. Bei goneo nutzen wir die Zertifikate von Let’s Encrypt, einer Ausgabestelle, die unter anderem von Google und Mozilla (bekannt von Firefox) unterstützt wird.
Kunden, die noch einen älteren Webhostingtarif nutzen, sollten ein Upgrade zu Sonderkonditionen in Erwägung ziehen. Über das Kundencenter können alle goneo-Webseitenbetreiber nachsehen, welche Upgradeoptionen für das entsprechende Produkt zur Verfügung stehen.
Mit der Warnung vor http erhöht Google den Druck auf Webseitenbetreiber, https einzusetzen und so den Datenverkehr zwischen Server und Browser verschlüsselt zu übertragen. Neue rechtliche Vorgaben legen die Verwendung von https ohnehin nahe, besonders dann wenn Daten von Usern erfasst werden, etwa in Eingabefenstern oder Formularfeldern.
Bisher haben die gängigen Browser die mit https übertragenen Websites als „sicher“ gekennzeichnet. Dies soll mit der nächsten Version, Chrome 69, eingestellt werden.

Chrome beginnt mit Version 68 nun damit, den Spieß umzudrehen und Daten, die nicht  mit https übertragen werden als „nicht sicher“ zu markieren.
Zwar kann die Website dennoch aufgerufen werden, allerdings werden sich viele User davor scheuen, Websites zu nutzen, die von einer Autorität wie Google als „unsicher“ bezeichnet werden.  Bisher war diese Kennzeichnung erst bei Klick auf das i-Symbol vor der Adresszeile des Browsers zu sehen.

Nun ist die Darstellung etwas anders. Statt nur eines (i)-Symbols heißt es nicht klar „Nicht sicher“. Mit Klick auf das Symbol kann sich der User anzeigen lassen, was dies wohl bedeuten könnte.

Wer dennoch nur http einsetzt und auf ein für https notwendiges SSL-Zertifikat verzichten möchte, sollte in den nächsten Wochen die Entwicklung der Besucherzahlen auf der Website im Auge haben. Es wird etwas dauern ehe man Aussagen zu den Effekten der Änderungen in Chrome 68 treffen kann.
Es stellt sich die Frage, ob diese Bewertung, die Google vornimmt, tatsächlich Mehrwert liefert. Es gibt durchaus Webseiten, die aufgrund ihrer Natur keine besonderen Sicherungen in der Datenübertragung brauchen, weil die Information ohnehin öffentlich ist und ein Rückkanal via Formular oder ähnlichem gar nicht enthalten ist. Viele einfache Webseiten funktionieren so – warum muss man vor ihnen warnen, zumal solche Warnungen bislang ja nur üblich waren, wenn man sich mit dem Öffnen der Seite Trojaner oder andere Schadsoftware einfangen würde. So gesehen ein Bärendienst, den Google da leistet.
Die Praxis zeigt auch, dass gerade dann, wenn man ein CMS benutzt, oft auch Ressourcen mit einfachem http-Protokoll inkludiert werden wollen, irgendwelche Bibliotheken zum Beispiel. In den Template-Dateien rumzustochern, um http-Verknüpfungen zu finden, ist einfach nicht jedermanns Sache.