Login

Unverschlüsselte Webseiten ein NoGo ab Chrome 68

Wie schon mehrfach angekündigt (z.B. im Februar im Chromium Blog) macht Google ernst mit der Abstrafung von unverschlüsselten Webseiten, die noch per HTTP aufrufbar sind. Mit der Ende des Monats erscheinenden Version 68 des Webbrowsers Chrome werden Webseiten ohne SSL-Zertifikat nun als unsicher eingestuft und deutlich als “nicht sicher” markiert.

unverschlüsselte Webseiten im Chrome 68 nicht sicher

Google begründet diesen Schritt u.a. mit der zunehmenden Verbreitung von SSL und veröffentlich im eigenen Transparenz-Report aktuelle Statistiken zur HTTPS-Nutzung. Demnach sind aktuell gut 90% des Webseiten-Traffics in Deutschland verschlüsselt und daher als selbstverständlich anzusehen, weshalb vor unverschlüsselten Seiten zu warnen sei. Allerdings werden die Statistiken nur über Chrome erfasst und nur von den Nutzern, die der Datenerfassung zugestimmt haben. Ebenfalls sind es vor allem große Webseiten wie z.B. Online-Shops die viel Traffic erzeugen und natürlich fast alle verschlüsselt sind.

Verhalten von Firefox und Safari

Mozilla zeigt in den aktuellen Versionen von Firefox bei unverschlüsselten Verbindungen zunächst lediglich ein graues Info-Icon an. Nach einem Klick auf dieses wird dann in rot der Text “Verbindung ist nicht sicher” ausgegeben.

firefox unsicher hinweis

Im Safari-Browser erfolgt aktuell ebenfalls noch keine Hinweis-Meldung bei unverschlüsselten Verbindungen, allerdings wird über Eingabefelder von Daten auf einer Webseite ohne HTTPS eine Warnung eingeblendet. Auch Firefox zeigt über ein Hinweisbox an, dass die Eingabe der Daten auf einer unverschlüsselten Seit erfolgt.

Rechtsgrundlagen für HTTPS

Es gibt rechtliche Grundlagen, die bei der Argumentation, warum ein SSL-Zertifikat für jede Webseite zwingend erforderlich ist, herangezogen werden können.

Schon lange gilt gemäß § 13 Absatz 7 des Telemediengesetz (TMG) explizit:
“(7) Diensteanbieter haben, (…) im Rahmen ihrer jeweiligen Verantwortlichkeit für geschäftsmäßig angebotene Telemedien durch technische und organisatorische Vorkehrungen sicherzustellen, dass 1. kein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten technischen Einrichtungen möglich ist und 2. diese a) gegen Verletzungen des Schutzes personenbezogener Daten und b) gegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind, gesichert sind.
Vorkehrungen nach Satz 1 müssen den Stand der Technik berücksichtigen. Eine Maßnahme nach Satz 1 ist insbesondere die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens.”

Und mit der Datenschutz-Grundverordnung (DSGVO) ergibt sich aus Artikel 5 Punkt 1 f DSGVO:
Personenbezogene Daten müssen in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen (“Integrität und Vertraulichkeit”).

HTTPS für unsere Kunden

Let's Encrypt offizielles Logo
SpaceHost-Kunden aktivieren die verschlüsselte Kommunikation für alle Webseiten ganz einfach und kostenlos im Control-Panel. Aktivieren Sie einfach Let’s Encrypt für Domains und Subdomains. Eine Anleitung und Details für Let’s Encrypt finden Sie selbstverständlich auch in unseren FAQ.

1 Kommentar

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *
Bitte beachte, dass sich Dein Kommentar auf den Artikel beziehen sollte. Wenn Du ein persönliches Kundenanliegen besprechen möchtest, wende Dich bitte an unseren Kundenservice auf Facebook, Twitter oder über unsere Support-Seite.