Das HTTPS everywhere-Projekt von Google schreitet voran. Es geht dabei um nichts weniger, als um Maßnahmen, die das Internet sicherer machen. Schon im Juli 2018 zündet Google die nächste Stufe. Mit dem Launch des neuen Google Chrome Browsers in der Version 68 werden alle Webseiten, die nicht über eine geschützte HTTPS-Verbindung aufgerufen werden können, deutlich sichtbar als unsicher markiert. Lassen Sie es nicht soweit kommen. Im folgenden Artikel zeigen wir Ihnen, wie Sie vermeiden können, dass Ihre Webseite einen „Nicht sicher“-Warnhinweis bekommt.

 

Was ist das HTTPS everywhere-Projekt?

HTTPS everywhere ist ein zentrales Projekt von Google, mit dem Google dazu beitragen will, das Internet weltweit sicherer zu machen. Bereits 2014 haben Ilya Grigorik und Pierre Far das Konzept und die Umsetzung von HTTPS everywhere in einem Vortrag vorgestellt.

Zum Vortrag Google I/O 2014 – http Everywhere von Ilya Grigorik und Pierre Far

Schauen wir uns die Entwicklung des Projekts einmal genauer an:

 

Step 1 – SSL als Rankingfaktor

Bereits 2014 gab es erste Ankündigungen, dass die verschlüsselte HTTPS-Verbindungen mit einem SSL-Zertifikat einen positiven Effekt auf das Ranking einer Webseite haben kann. Das waren erste Anzeichen für die schrittweise Durchsetzung eines neuen Standards. Denn das Ziel von Google ist die weltweite Umstellung auf verschlüsselte Verbindungen, die Google zu einem Faktor für ein besseres Ranking von Webseiten gemacht hat.

Weitere Informationen zum Thema SSL als Rankingfaktor finden Sie in diesem Beitrag:

Besseres SEO-Ranking durch verschlüsselte Verbindungen

 

Step 2 – HTTP-Webseiten mit Passworteingaben und Formularfeldern werden als unsicher markiert

Zum 01.01.2017 folgte eine wesentlich gravierendere Änderung. Seit 2017 „erzwingt“ Google für bestimmte Website-Typen eine Umstellung von HTTP auf HTTPS. Denn alle HTTP-Webseiten, auf denen Passwörter, Bankverbindungen, Kreditkarteninformationen abgefragt werden oder die Formularfelder bzw. Kommentarfunktionen nutzen, werden seit dem 01.01.2017 vom Google Chrome Browser als unsicher markiert. Andere wichtige Browsern wie z.B. Mozilla Firefox, Safari, Microsoft, Edge, u.a. folgen diesem Beispiel.

Die Begründung für diesen Schritt lieferte Google in seinem Google Security Blog: Moving towards a more secure web

Aktuell stellt sich die Situation folgendermaßen dar:

  • HTTPS-Webseiten, die über eine verschlüsselte Verbindung aufgerufen werden können, werden in der Browserzeile als „sicher“ gekennzeichnet. Sie erhalten ein grünes Schlüsselsymbol.
  • HTTP-Webseiten von Finanzdienstleistungen, Online-Shops sowie HTTP-Webseiten mit Formularfelder für die Eingabe persönlicher Daten werden vom Google Chrome Browser als „nicht sicher“ bzw. „schädlich“ markiert und erhalten ein Warnzeichen.
  • Alle anderen HTTP-Webseiten werden mit einem grauen i gekennzeichnet und erhalten einen dezenten Sicherheitshinweis.

Abbildung_-_Die-Bedeutung-der-Warnzeichen-in-Chrome

Weitere Informationen zu der Bedeutung der Warnzeichen im Google Chrome Browser finden Sie hier:

 

Step 3 – Sicherheitswarnung für alle HTTP-Webseiten! Ab Juli 2018

Im Februar 2018 kündigt Google seine bislang gravierendste Änderung an. Mit dem Lauch von Google Chrome 68, der für Juli 2018 geplant ist, erhalten jetzt ausnahmslos alle HTTP-Webseiten einen deutlich sichtbaren Sicherheitshinweis. Das heißt: Ab Juli 2018 werden alle HTTP-Webseiten in der Browserzeile von Chrome automatisch mit dem Warnhinweis „nicht sicher“ bzw. „schädlich“ versehen.

Abbildung_-_ HTTPS everywhere_Warnhinweis-Google-Chrome-68

Weitere Informationen hierzu im Chromium Blog – A secure web is here to stay

 

Was müssen Sie tun, um den „Nicht sicher“-Warnhinweis zu vermeiden?

Damit Sie den „Nicht sicher“-Warnhinweis vermeiden, muss Ihre Webseite über ein sicheres Hypertext-Übertragungsprotokoll (HTTPS) aufgerufen werden können. Dafür benötigen Sie ein SSL-Zertifikat. Außerdem müssen Sie Ihre URLs von HTTP auf HTTPS umstellen. Dazu sind folgende Schritte erforderlich:

1. SSL Zertifikat bestellen und einbinden

Wählen Sie ein SSL-Zertifikat, das zu Ihren Ansprüchen passt. Host Europe bietet Ihnen drei verschiedene Arten von SSL-Zertifikaten: Domain SSL, Organization SSL, Extended SSL. Für Host Europe Produkte können Sie selbstverständlich auch SSL-Zertifikate von externen Anbieter nutzen.

Hier finden Sie weitere Informationen zu den SSL-Zertifikaten von Host Europe.

Tipps zur Einbindung von SSL-Zertifikaten haben wir Ihnen in den folgenden Artikeln zusammengestellt:

2. Prüfen Sie, ob das SSL-Zertifikat richtig eingebunden ist

Im Internet finden Sie kostenlose Tools, mit denen Sie schnell und einfach einen SSL-Check durchführen können. Eines dieser Tools ist zum Beispiel der SSL-Checker von SSL Shopper.

Abbildung_-_SSL-Checker

Zum SSL-Checker von SSL Shopper

Geben Sie einfach die URL Ihrer Seite ein und klicken Sie auf „Check SSL“

3. Webseite per HTTPS adressieren

Sorgen Sie dafür, dass Ihre Webseite über eine verschlüsselte Verbindung aufgerufen wird. Die Adressierung muss per HTTPS erfolgen. Bitte beachten Sie dabei: Obwohl es sich bei der neuen Adressierung nur um eine Änderung des Übertragungs-Protokolls von HTTP zu HTTPS handelt, bewertet Google HTTP-URLS und HTTPS-URLS wie unterschiedliche URLs. Die Umstellung von HTTP auf HTTPS sollten Sie daher wie einen Domain-Umzug angehen.

Die wichtigsten Punkte, auf die Sie bei der Umstellung von HTTP auf HTTPS achten sollten, finden Sie hier: 

4. Richtige Adressierung sämtlicher Inhalte via HTTPS

Bei der Umstellung auf HTTPS müssen sämtliche Seiteninhalte und interne Ressourcen, dazu gehören zum Beispiel Bilder, Skripte, CSS-Dateien etc., über eine sichere Verbindung via HTTPS aufrufen werden.

Mit dem SSL-Check von JitBit testen Sie im Handumdrehen, ob bestimmte Webinhalte Ihrer Seite über unsichere Verbindungen aufgerufen werden. Zudem erhalten Sie detaillierte Angaben, auf welchen Unterseiten noch unsichere Inhalte zu finden sind, und welche das sind.

Abbildung_-_SSL-Check-von-JitBit

Zum SSL Check von JitBit

 

Fazit

Ab Juli 2018 wird der neue Google Chrome Browser in der Version 68 alle HTTP-Websites als „nicht sicher“ markieren – mit großer Wahrscheinlichkeit werden andere großen Browser wie Mozilla Firefox, Safari von Apple und Microsoft Edge bald folgen. Vermeiden Sie, dass Besucher Ihrer Webseite demnächst eine Sicherheitswarnung bekommen, denn das beschädigt nicht nur das Image Ihrer Seite, sondern ist meist auch geschäftsschädigend. Nutzen Sie unsere Tipps: Sichern Sie Ihre Internetpräsenz rechtzeitig mit einem SSL-Zertifikat und stellen Sie Ihre Seite von HTTP auf HTTPS um.

 

Bildnachweis: Fotolia, Lizenz: Host Europe

Wolf-Dieter Fiege

Wolf-Dieter Fiege ist Senior Specialist für Content Marketing & SEO und Chefredakteur des Blogs der Host Europe GmbH, einem der größten Anbieter von Domain- und Webhosting sowie Serverprodukten in Europa.

3 thoughts on “HTTPS everywhere: Ab Juli markíert Google Chrome alle HTTP-Seiten als nicht sicher

  1. Wann geht HostEurope endlich mit der Zeit und bietet automatische Let’s Encrypt Zertfikate für die WebHosting Pakete an?

    • Hallo Peter,
      wir von Host Europe haben uns für ein andere Lösung entschieden und bieten jetzt für alle WebHosting- und WebServer-Produkte ein Domain-SSL-Zertifikat kostenlos inklusive.
      Alternativ können auch Let’s Encrypt Zertifikate eingebunden werden. Diese müssen allerdings regelmäßig aktualisiert werden.
      Auf Virtual-, Root- und Dedicated Servern von Host Europe mit Plesk lassen sich Let’s Encrypt Zertifikate automatisch aktualisieren.
      Mit besten Grüßen
      Wolf-Dieter

      • Wolf-Dieter, „ein“ Domain-SSL-Zertifikat ist nun wirklich keine Alternative. Schon bei zwei Domains mit jeweils ein paar Subdomains ist Host Europe einfach maßlos überteuert. Dazu wurde auch noch der Leistungsumfang der bestehenden Produkte reduziert, so dass Bestandskunden Leistungen verlieren wenn sie das „kostenlose“ Domain-SSL-Zertifikat in Anspruch nehmen möchten.

        Der Hinweis auf das manuelle Aktualisieren von Zertifikaten oder den Wechsel zu Serverprodukten zeigt leider, dass Host Europe kein Interesse mehr hat einen zeitgemäßen Service im Bereich Web Hosting zu liefern. Schade.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Die von Ihnen hier erhobenen Daten werden von der Host Europe GmbH zur Veröffentlichung Ihres Beitrags in diesem Blog verarbeitet. Weitere Informationen entnehmen Sie bitte folgendem Link: www.hosteurope.de/AGB/Datenschutzerklaerung/