Google Chrome warnt Besucher vor Eingaben über HTTP

Vor einigen Tagen wurden über die Google Search Console Sicherheitshinweise an Seiteninhaber versendet, welche HTTP Seiten mit Eingaben anbieten. In dieser Nachricht wird auf die kommenden Änderungen des Google Chrome Browsers hingewiesen, sodass die Seiteninhaber noch rechtzeitig Maßnahmen ergreifen können. Eine solche Benachrichtigung haben alle Seiteninhaber bekommen, deren Seite in der Google Search Console eingetragen ist.

Google Search Console - Google blendet Sicherheitswarnungen ein.

Bereits in einem Blog-Post des Chromium Blogs wurden die Änderungen angekündigt:

Beginning in October 2017, Chrome will show the „Not secure“ warning in two additional situations: when users enter data on an HTTP page, and on all HTTP pages visited in Incognito mode.

Im Oktober 2017 erscheint die Version 62 des Google Chrome Browsers welche einen Hinweis vor der URL einblendet, wenn Eingabefelder bearbeitet werden. Der Hinweis wird jedoch nur dann angezeigt wenn es sich dabei um eine HTTP-Seite handelt. In der E-Mail wird das Verhalten für Formulare beschrieben. Es ist jedoch unabhängig ob es sich um ein Formular oder eine einfache Eingabe handelt. Im Inkognito-Modus dagegen werden nun alle HTTP Seiten als unsicher markiert, auch wenn sich dort keine Eingabe befindet. Google Chrome reagiert also ab der Version 62 empfindlicher auf Seiten ohne SSL-Zertifikat. Bereits seit der Version 56 welche seit Januar 2017 veröffentlicht ist, wird bereits eine solche Warnung für Seiten angezeigt, welche über HTTP aufgerufen werden und Eingaben für Passwörter oder Kreditkartendaten anbieten. Mit der kommenden Version wird diese Warnung nun erweitert. Sobald man also ab Oktober 2017 eine Eingabe auf einer HTTP-Seite vornimmt, erscheint eine Warnung vor der URL um den Besucher auf die fehlende Verschlüsselung hinzuweisen. Die Art der Daten ist dabei unwichtig. Dieses Feature wird natürlich auch in der mobilen Version verfügbar sein. Der Hinweis ist dort aber nicht ganz so deutlich wie auf dem Desktop-Browser. Wie diese Warnungen auf dem Desktop oder dem mobilen Browser aussehen, findet man am Ende dieses Artikels in der Slideshow.

Folgen für Seiteninhaber?

Der Google Chrome Browser ist einer der am meisten verwendeten Browser. Laut Google Analytics greifen ca. 40% der Besucher auf diesem Blog über Google Chrome zu. Durch den kommenden Hinweis könnten viele dieser Besucher abgeschreckt werden. Die Absprungsrate einer Seite könnte also spürbar steigen. Die Seiteninhaber sollten also dafür sorgen alle Eingaben nur noch über HTTPS anzubieten. Um Seiten über HTTPS aufrufen zu können, wird ein SSL-Zertifikat benötigt. Ein SSL-Zertifikat kann bereits seit einiger Zeit über Let’s Encrypt kostenlos und automatisiert erstellt und verlängert werden. Jedoch unterstützt nicht jeder Hoster Let’s Encrypt bzw. nicht die benötigte Technik. So müssen je nach Hoster SSL-Zertifikate gekauft oder ein Umzug zu einem anderen Hoster durchgeführt werden. Man sollte sich jedoch überlegen, ob man die Kosten für ein SSL-Zertifikat auf sich nehmen möchte, wenn bereits eine kostenlose Alternative verfügbar ist. Natürlich gibt es hier auch Ausnahmen, da beispielsweise Banken erweiterte SSL-Zertifikate benötigen, um neben der Domain auch die Identität zu bestätigen.

Ich hoste diesen Blog über Host Europe welche jedoch keinen direkten Support für Let’s Encrypt anbieten. Host Europe gibt jedoch die Möglichkeit eigene SSL-Zertifikate über das Kunden-Informations-System (KIS) hochzuladen. Wie SSL-Zertifikate von Let’s Encrypt erstellt werden und bei Host Europe eingebunden werden können habe ich in dem Artikel „Host Europe – SSL-Zertifikate von Let’s Encrypt einrichten“ beschrieben. Ohne vollen Support von Let’s Encrypt muss die Verlängerung alle drei Monate durch den Seiteninhaber bzw. dessen Administrator durchgeführt werden. Im Falle eines Wechsels zu einem anderen Hoster sollte man jedoch gleich einen Hoster wählen, welcher Let’s Encrypt vollständig unterstützt, also auch die automatische Verlängerung und evtl. kommende Änderungen (ab Januar 2018 können Wildcard-Zertifikate erstellt werden) .

Feature in Google Chrome Canary bereit vorab testen

Um die für Oktober angekündigten Features bereits jetzt testen zu können, kann Google Chrome Canary (mobile Version) heruntergeladen werden. In dieser Version ist bereits die Version 62 aktiv jedoch noch ohne die entsprechenden Standardwerte, welche ab Oktober 2017 aktiv sein sollten. Es gibt aber die Möglichkeit über die experimentellen Funktionen die Features zu aktivieren und bereits vorab zu testen. Um in die experimentellen Funktionen zu gelangen, muss die Adresse  chrome://flags aufgerufen werden. Es öffnet sich eine Liste mit vielen verschiedenen Einstellungsmöglichkeiten bzw. Experimenten. Um das Feature testen zu können, benötigen wir jedoch nur die Einstellung „Mark non-secure origins as non-secure“ (auch direkt über  chrome://flags/#mark-non-secure-as erreichbar). In der aktuellen Version 60 befindet sich hier nur die Einstellung „Default“ und „Always mark HTTP as actively dangerous“.  In der Canary Version 62 findet man hier jedoch noch weitere Einstellungen: „Warn on HTTP after editing forms“, „Warn on HTTP while in Incognito mode“, „Warn on HTTP while in Incognito mode or after editing forms“. Goolge hat bereits die Änderungen erläutert, welche ab der Version 62 aktiv sein sollten. Über die Einstellung „Warn on HTTP while in Incognito mode or after editing forms“ kann man diese aktivieren. So soll eine Warnung erscheinen, wenn wir im Inkognito-Modus eine HTTP-Seite aufrufen und wenn wir im normalen Modus eine Eingabe in ein beliebiges Eingabefeld vornehmen. Nachdem man die Option aktiviert und den Browser neu gestartet hat, reagiert der Browser auf die entsprechenden Ereignisse.

Seit der Version 56 werden bereits Eingaben für Passwörter oder Kreditkartendaten direkt nach dem Laden der Seite als unsicher markiert. Die Einstellung „Show in-form warnings for sensitive fields when the top-level page is not not HTTPS“ befindet sich ebenfalls in diesen Einstellungen (oder kann direkt über chrome://flags/#enable-http-form-warning  aufgerufen werden). In den Einstellungen findet man auch die Einstellung, um stattdessen eine aggressivere Warnung anzuzeigen. Diese zeigt, wie weit hier Google gehen könnte und möglicherweise in Zukunft auch gehen wird. Neben dem Hinweis im Browser kann sich die Verwendung von HTTPS positiv auf das Ranking auswirken. Die Verwendung von HTTP hingegen könnte sich auch nachteilig auf das Ranking auswirken. Gerade bei technischen Problemen, zu welchen ich die Verwendung von HTTP zähle, reagiert Google oft empfindlich.

sebastianbrosch

Ich bin gelernter Fachinformatiker und konnte Erfahrungen in HTML, CSS, JavaScript, jQuery, PHP sowie VB.NET sammeln. In diesem Blog schreibe ich über meine Probleme und Erfahrungen sowie Aritkel aus dem Gebiet der Anwendungsentwicklung.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.