IT-Sicherheit VI: Chrome-Browser 56 von Google erklärt Webseiten ohne SSL-Verschlüsselung sensibler Daten als «not secure» Admin

Ab der Version 56 des Chrom-Browsers bezeichnet Google Webseiten ohne SSL-Verschlüsselung mit dem Warnhinweis «not secure», wenn Passwörter, Kreditkarteninformationen oder andere sensible Daten übertragen werden. Fragt sich, was die SSL-Verschlüsselung ist.

HTTPS anstatt HTTP

SSL bedeutet eines Secure Sockets Layer. Die neusten Nachfolgerversionen heissen TLS oder Transport Layer Security. SSL ist ein Verschlüsselungsprotokoll, mit dem ein sicherer Übertragungskanal für verschiedene Anwendungen zur Verfügung gestellt werden kann. Benutzt wird das namentlich für die Webbrowser, den E-Mailversand und den E-Mailempfang.
Wird SSL eingesetzt, steht hinter der Standardbezeichnung ein «S». Bei der Webadresse heisst es dann HTTPS anstatt HTTP, beim Mailversand SMTPS anstatt SMTP, beim Mailempfang POP3S anstatt POP3.

Sicheres Surfen

Wird eine Webadresse mit HTTPS eingeführt und damit die SSL-Verschlüsselung eingesetzt, lässt sich auf dieser Website sicher surfen. Weder ein anderes System noch ein anderer Server können dann die gesendeten Daten einsehen. Die Daten werden zwischen dem Webserver, auf dem die Website läuft, und dem Webbrowser verschlüsselt. Dazu bedarf es stets eines Zertifikats auf der Website. Dieses wird auf die Adresse der Website ausgestellt.
Wer auf einer HTTPS-Website wirklich sicher surfen will muss drei Dinge abklären: Das Zertifikat muss erstens wirklich für diese Website ausgestellt sein, darf zweitens nicht abgelaufen sein und muss drittens eine Verschlüsselung von mindestens 128 Bit bieten. Das ist beispielsweise beim Internet Explorer zu erkennen, wenn auf das in der Adresszeile erscheinende Schloss-Symbol geklickt wird.

Google plant weitere Schritte

Nach der Einführung der «not secure»-Bezeichnung bei Websites mit sensiblem Datenverkehr ohne SSL-Verschlüsselung will Google in den kommenden Versionen von Chrome noch weitergehen. Im nächsten Schritt sollen alle http-Seiten, die im Inkognito Modus aufgerufen werden, als «not secure» eingestuft werden – weil Browsernutzer hier gemäss Google einen höheren Sicherheitsanspruch haben. Längerfristig plant Google, bei allen HTTP-Webseiten einen Warnhinweis zu geben – oder: Wer kein HTTPS einsetzt soll von Google abgestraft werden. Laut Google sind heute bereits über 50 Prozent der mit Chrome aufgerufenen Websites SSL-verschlüsselt. Das ist wohl auch darum, weil Google in den Suchalgorithmen verschlüsselte Websites bevorzugt.

Zu Teil 1 der IT-Sicherheits-Serie: «AppLocker» leistungsfähiger als klassische Antivirensoftware

Zu Teil 2 der IT-Sicherheits-Serie: OpenDNS blockiert automatisch die Phishing-Seiten

Zu Teil 3 der IT-Sicherheits-Serie: «Advanced Threat Analytics» von Microsoft

Zu Teil 4 der IT-Sicherheits-Serie: META10 ist Mitglied des grössten Internet-Austausch-Knotens der Schweiz

Zu Teil 5 der IT-Sicherheits-Serie: Optimierte Redundanz im Dienste der Sicherheit und Verfügbarkeit des Cloudcomputing

Zu Teil 7 der IT-Sicherheits-Serie: Physische plus IT-technische plus organisatorische Sicherheit ergibt die höchstmögliche Sicherheit








b k u quote

Kommentar speichern
Kommentar