Absage von Chrome und Firefox an HTTP

Schon länger ist es ein Thema im Online-Marketing: HTTP gilt als unsichere Verbindung und sollte durch HTTPS ersetzt werden. Wenn Kunden während des Online Shoppens persönliche Daten angeben müssen, erscheint schon seit Januar 2017 in Chrome und Firefox eine Warnung bei einer unverschlüsselten Verbindung über HTTP. Jetzt holen die beiden Unternehmen in den neuen Browser-Versionen zum Rundumschlag aus. Sie wollen den User nicht nur im Checkoutbereich vor HTTP-Verbindungen warnen, sondern generell, wenn eine Verbindung nicht über HTTPS läuft.

Was sind überhaupt HTTP und HTTPS?

Das Kürzel HTTP steht für Hypertext Transfer Protocol und ist Ihnen wahrscheinlich aus der Adresszeile Ihres Browsers bekannt. HTTP erscheint immer dann, wenn Sie mit Ihrem Webbrowser auf eine Webseite zugreifen und Ihr Browser Daten von einem anderen Computer anfordert. Allerdings erfolgt dieser Datentransfer unverschlüsselt, kann also von Dritten eingesehen und manipuliert werden. Das macht HTTP-Verbindungen ungeeignet für die Übermittlung sensibler Daten, wie es zum Beispiel beim Online-Banking der Fall ist.

An dieser Stelle kommt HTTPS ins Spiel. HTTPS steht für Hypertext Transfer Protocol Secure und der entscheidende Unterschied zum HTTP ist, dass bei einer HTTPS-Verbindung die Daten verschlüsselt übermittelt werden und diese somit vor Hackerangriffen und vor Datenmissbrauch besser geschützt sind. Im technischen Sinne ist HTTPS kein eigenständiges Protokoll, sondern bezeichnet die Verwendung von HTTP über SSL oder TLS. SSL steht für Secure Sockets Layer, da mittlerweile einige Schwachstellen dieses Sicherheitsprotokolls bekannt sind, wurde TLS (Transport Layer Security) als Nachfolger entwickelt.

Das wirft natürlich die Frage auf, warum HTTPS nicht schon längt zum allgemeinen Standard im WorldWideWeb geworden ist. Die neusten Updates von Firefox und Chrome scheinen nun genau diese Richtung einzuschlagen.

Warum die Aufregung?

Personenbezogene Daten sind in den letzten Jahren finanziell immer wertvoller geworden, so dass bestehende Sicherheitslücken häufig für Datendiebstähle missbraucht werden. Gleichzeitig wird eCommerce immer populärer und bereits von der Mehrheit der Menschen weltweit genutzt. Deswegen ist das Thema IT-Sicherheit eines der wichtigsten im Online-Handel und die Sicherheitsanforderungen an Webseiten sind in den letzten Jahren enorm gestiegen. Schon im vergangenen Jahr berichteten wir über den Schutz von personenbezogenen Daten. Die aktuellen Neuerungen der Browser von Mozilla und Firefox bestätigen die Brisanz der Thematik.

Welche Änderungen kommen bei Chrome auf Sie zu?

Seit Januar kennzeichnet der Browser mit der Version 56, wenn eine nicht mit SSL verschlüsselte Seite aufgerufen wird, wie das Unternehmen in seinem Security Blog ankündigte. Dazu soll der Hinweis „not secure“ neben der Adresse erscheinen. Zunächst wurden nur Seiten markiert, die Felder für Passwörter oder Kreditkarteninformationen enthalten, jetzt soll der Browser auch mit einem roten Dreieck vor HTTP-Verbindungen warnen. Vorerst im Inkognito-Modus bis schließlich standardmäßig vor jeglicher HTTP-Verbindung gewarnt wird.

“Eventually, Chrome will show a Not Secure warning for all pages served over HTTP, regardless of whether or not the page contains sensitive input fields. Even if you adopt one of the more targeted resolutions above, you should plan to migrate your site to use HTTPS for all pages”, erklärt Eric Lawrence im Google Developers Blog.
Was auf den ersten Blick vielleicht übertrieben erscheinen mag, macht aber durchaus Sinn, denn bei vielen Online-Shops ist zwar der Checkout-Bereich verschlüsselt, läuft also über eine HTTPS-Verbindung, während auf den restlichen Seiten die Cookies unverschlüsselt – also über HTTP – übertragen werden. Die Sicherheit der Daten ist dann trotz HTTPS Verschlüsselung im Kassenbereich gefährdet.

Google erklärt, dass mit der neuen Vorgehensweise die Nutzer geschützt werden sollen, da Untersuchungen gezeigt hätten, dass die bisherigen Maßnahmen nicht ausreichend seien, um auf eine unsichere Verbindung aufmerksam zu machen. In der Vergangenheit hatte lediglich das Fehlen eines „Sicher-Icons“ darauf hingewiesen, dass die besuchte Seite nicht ausreichend verschlüsselt sei. Nun soll das gleiche rote Warndreieck genutzt werden, das auch für falsch konfigurierte HTTPS-Seiten genutzt wird, um auf unzureichend verschlüsselte Seiten aufmerksam zu machen. Mehr dazu lesen Sie hier.

Welche Neuerungen erwarten Sie bei Firefox?

Auch Firefox warnt in seiner neuen Version 51 deutlich offensiver vor unsicheren Verbindungen. Besucher von Webseiten mit HTTP sollen durch eine Sicherheitswarnung darauf aufmerksam gemacht werden, dass Sie sich auf einer ungenügend verschlüsselten Seite befinden. Diese neue Sicherheitswarnung soll nach einem Klick in Textfelder und Formulare erfolgen. Schon zuvor hatte Firefox seine Nutzer bei unsicheren Verbindungen gewarnt, diese Warnung wurde jedoch erst sichtbar, wenn auf das Ausrufezeichen links in der Adresszeile angeklickt wurde. Im Mozilla Security Blog erschien bereits im April 2015 ein Beitrag zu diesem Thema mit der Empfehlung an Seitenbetreiber die bestehenden HTTP-Verbindungen in die sicheren HTTPS-Verbindungen umzuwandeln.

Welche Änderungen im Umgang mit HTTP und HTTPS lassen sich konkret feststellen?

• Wenn Sie einen reinen HTTP-Zugriff zur Verfügung stellen, erscheint beim Aufruf der Seite links neben dem URL ein „Nicht sicher“.
• Ist das SSL-Zertifikat SHA1 signiert, erscheint eine Warnung und die Seite wird nicht geladen.
• Ist das SSL Zertifikat SHA256 und ein Zwischenzertifikat SHA1 signiert, wird ebenfalls eine Warnung angezeigt und die Seite nicht geladen, da die gesamte Kette SHA256 signiert sein muss.
• Wenn sowohl HTTP als auch HTTPS auf der Webseite verwendet werden, kann es sein, dass nicht alle Inhalte der Webseite angezeigt werden.

Was Sie tun können

Die neusten Updates bei Chrome und Firefox sind für Sie als Shopbetreiber interessant, weil sie möglicherweise zu Irritationen bei Ihren Kunden führen könnten.
Um solche Ausfälle zu vermeiden und die User nicht durch auffällige Warnmeldungen zu verunsichern, empfiehlt es sich, dass Sie die Webseiten von HTTP auf HTTPS umleiten. Eine weitere Möglichkeit ist alle SHA256 zu signieren oder ein Reissue des bestehenden Zertifikats durchzuführen.