Chrome sagt HTTP-Verbindungen erneut den Kampf an

Der Gedanke ist nicht neu, aber derzeit wieder im Gespräch. Chrome-Entwickler Chris Palmer stellt einen neuen Vorschlag zur Diskussion. Seiner Intension zu Folge sollen HTTP-Verbindungen in Google Chrome bald als unsicher gekennzeichnet werden, ähnlich, wie dies bereits bei unsicheren HTTPS-Verbindungen der Fall ist. Damit spricht sich Google erneut für ein sichereres Web aus. Diesen Vorstoß kann man nur begrüßen, trotzdem liegen der Umsetzung schwere Brocken im Weg. Durch die symbolische Wirkung gelten HTTP-Verbindungen dann potenziell als unsicher. Seitenbetreiber würden indirekt dazu genötigt, TLS-Zertifikate zu erwerben. Darin liegt ein Problem. Denn diese Zertifikate kosten ordentlich Geld. Geld, das nicht jeder Webseitenbetreiber investieren möchte oder kann. Damit würde man diese Betreiber quasi alleine nur wegen einer unsicheren Verbindung abwerten. Brauchen wirklich alle Webseiten HTTPS?

HTTPS (Quelle: Sean MacEntee, Liz. CC BY 2.0)
HTTPS (Quelle: Sean MacEntee, Liz. CC BY 2.0)

Einerseits bringt eine verschlüsselte Verbindung viele Vorteile. Es ist schwerer Nutzer zu verfolgen und nachzuvollziehen, was sie wo und wie lesen, anschauen oder anhören. Klar, das ist wunderbar. Aber HTTPS wurde entwickelt, um sensible Bereiche im Web zu schützen. Gilt nun jede Webseite als sensibler Content? Oder sind es Bewegungsprofile der Nutzer, welche schützenswert sind? Schwierige Frage. Ich persönlich finde HTTPS-Verbindungen zwar auch besser, brauche sie aber nicht überall. Wenn dich ein Dienst tracken will, dann macht er das schon. Darum brauchst du dir keine Sorgen machen. TLS nur da, wo es wirklich gebraucht wird. Ansonsten erachte ich andere Schutzmechanismen als wichtiger, wie regelmäßig den Browserverlauf, samt Cache und Cookies, löschen. Verrate deinem Browser nur so viel, wie er für den Betrieb wissen muss.

Ach, wie gut das keiner weiß, dass ich Rumpelstilzchen heiß

Das Gleiche gilt auch für Webseiten. Im Grunde möchte ich Palmers Idee nicht schlechtreden, aber die gegenwärtige Situation macht sie nicht praktikabel. Wenn HTTPS der gelebte Standard werden soll, dann müssen die Zertifikatpreise zwangsläufig sinken. Denn keine Privatperson wird im Jahr um die 100 Euro oder mehr für TLS-Zertifikate ausgeben. Selbst TLS hat seine Schwachstellen und Man-in-the-Middle-Angriffe sind sehr beliebt. Auf kurz oder lang muss meiner Meinung ein vollkommen neuer Verschlüsselungsstandard her. Du hast zwar heute schon zahlreiche Möglichkeiten, dich im Web zu schützen. Doch wir kratzen bei diesem Thema nach wie vor an der Oberfläche. Beispielsweise das Tor-Netzwerk ist zu langsam und die Sicherheit fragwürdig.

Cyber Endeavor 2011 (Quelle: U.S. Army Europe Images, Liz. CC BY 2.0)
Cyber Endeavor 2011 (Quelle: U.S. Army Europe Images, Liz. CC BY 2.0)

Die Geheimdienste haben es möglicherweise bereits unterwandert. Das will nur keiner so recht wahr haben. Fakt ist, es steht im Schussfeld der Regierungen. Um hier abzukürzen: Wir können verschlüsseln so viel wir wollen. Solange aber Geheimdienste durch die Politik gedeckt solche Mechanismen gezielt aushebeln, sind sie nutzlos. Dem können nur strikte Gesetze, die durchgesetzt werden, entgegen wirken. Das Thema sicheres Web ist seit den Enthüllungen der globalen Überwachungs- und Spionageaffäre ein schweres Pflaster. Regierungen alleine sind ja auch nicht unser einziges Problem. Dazu gesellen sich informationshungrige Unternehmen wie Facebook, Online Marketing Anbieter und Hacker. Sie wollen alle etwas über uns, den Nutzer, wissen.

HTTPS ist förderlich, um dem Treiben einhalt zu gebieten, reicht jedoch bei weitem nicht aus. Sicherheit und Privatsphäre fangen im Kopf und nicht bei der Webseitenverschlüsselung an. Wie denkt ihr über HTTPS-Verbindungen. Sollen künftig alle Seiten ausschließlich sichere Verbindungen bieten oder haltet ihr das für reichlich überzogen?


Avatar von reraiseace
Autor: Markus Werner (reraiseace) Twitterreraiseace, Google+reraiseace, Twittercb_werner
Ich bin Redaktionsvolontär bei der COMPUTER BILD in Hamburg, Fernstudent am Deutschen Journalistenkolleg und schreibe auf re{raise}ace privat über Webdesign und Programmierung. Seit 2015 schrieb ich auch regelmäßig für andere Medien.

3 Kommentare

Du kannst diesen Artikel nicht mehr kommentieren.

  1. Kommentar von Ivan Bliminse · · #

    Absolut notwendig. Weniger wegen der Verschlüsselung an sich, sondern damit der Traffic von der angeforderten Website nicht verändert werden kann. Sodass Programme wie bspw. Quantum zumindest wesentlich mehr erschwert werden.

    Was heißt teuer, demnächst kommen Mozilla, EFF in den Zertifikat-Markt.

    Bzgl. Tor. Bereits im Juli wurde gewarnt das möglicherweise die Hidden Services deanonymisiert wurden. Interessierte nur niemanden^^ https://blog.torproject.org/blog/tor-security-advisory-relay-early-traffic-confirmation-attack
    Es ist jedoch Fakt, dass man mit Tor sicherer ist als ohne.

  2. Kommentar von reraiseace · · #

    Aber auch verschlüsselte Webseiten können belauscht oder manipuliert werden. Es erschwert nur den Aufwand für die Angreifer.

    Ob Mozilla und EFF Erfolg haben, wird sich zeigen. Zu wünschen wäre es ihnen jedenfalls. Ein Zertifikat ist schnell ausgestellt, das ist weniger das Problem. Die Bestätigung durch eine vertrauenswürdige CA ist dagegen meist noch recht kostspielig.

    Über Tor lässt sich streiten. Die einen schwören drauf, die andern nicht. Mag sein, dass man damit sicherer unterwegs ist, man steht aber vielleicht auch mehr in der Schusslinie von Geheimdiensten (unverschuldet).

  3. Kommentar von Ivan Bliminse · · #

    100% sicher ist leider nichts, daher kann man nur den Aufwand soweit es möglich ist hochtreiben.

    Mittlerweile muss man eh sagen, dass jeder in der Schusslinie steht. Der einzige Unterschied ist, die einen mehr die anderen weniger.