Martins key.matiq-Blog
>> Zurück zum Artikelverzeichnis >>
Googles Warnung vor HTTP-Sites –
Die Kirche im Dorf lassen!
Geschrieben: 01.08.2018
Letzte Überarbeitung: 08.12.2022
Stichwörter: Sicherheit mit Bedienbarkeit
Worum geht es?
Seit Ende Juli 2018 zeigt der Google Chrome™* Browser beim Aufruf von HTTP-Seiten links neben der URL die Meldung "Nicht sicher" und überschreibt die weiteren Informationen mit: "Die Verbindung zu dieser Website ist nicht sicher".
Was ist daran richtig?
HTTP-Verbindungen sind unverschlüsselt. Der Aufruf der Seite, aber auch Formular-Eingaben, können von dritter Seite mitgehört werden. Insofern ist die Aussage über die "unsichere" Verbindung, schon richtig.
Was ist dann an Googles Warnung falsch?
Alle HTTP-Seiten pauschal als "unsicher" zu disqualifizieren. Google könnte statt "nicht sicher" einfach "unverschlüsselt" sagen.
Aber ist das nicht dasselbe?
Nein. "Nicht sicher" hat etwas mit dem Kontext zu tun. Google behauptet damit, dass im Internet das Abrufen jeder unverschlüsselten Seite ein Risiko darstellt. Das ist aber eine meiner Ansicht nach übertriebene Position.
Aber ist das Ausspionieren des Surfverhaltens kein Risiko?
Doch. Wir wissen, dass US-Geheimdienste versuchten, sämtliche Internet-Kommunikation mitzuschneiden und auszuwerten. Natürlich birgt das die Gefahr, dass sie automatisiert Personenprofile der Bürger*innen der gesamten Welt erstellen.
Aber wir wissen auch, dass es Google war, das so etwas auf kommerzieller Ebene veranstaltete, Suchanfragen und anschließende Klicks auswertete und Cookies fürs Tracking misbrauchte. Und jetzt ruft der Datendieb: Haltet den Dieb!
Vielleicht wurde aus dem Saulus ein Paulus?
So möchte sich Google wohl gerne darstellen. Aber für mich ist das nur Teil einer Imagekampagne: Mit den Fingern auf andere zeigen, um sich selbst reinzuwaschen.
Ist es aber nicht trotzdem richtig, auf HTTPS umzustellen?
Natürlich hilft das, den globalen Überwacher*innen das Leben zu erschweren. Aber deshalb darf man doch nicht jede kleine Händler*in, der gar keinen Online-Shop betreibt, sondern nur die Öffnungszeiten seines Ladens im Internet bekannt geben möchte, bedrängen!
Ist dieses Drängen wirklich so schlimm?
Ja. Man hat ja auch anderes zu tun, von dem man durch so einen Mist abgehalten wird. Wenn man auf HTTPS umstellt, braucht man ein Zertifikat. Man muss das verstehen und richtig installieren und es muss auch regelmäßig erneuert werden. Bereits die Überlegung, ob man sich nun ein Zertifikat kaufen möchte, oder einen kostenlosen Dienst in Anspruch nimmt, kostet Zeit und Kraft.
Man muss aufpassen, dass das Zertifikat regelmäßig automatisch erneuert wird, und, wenn das nicht funktioniert, den Fehler finden. Falls man es verpasst hat, muss man evtl. vorübergehend noch ein Billig-Zertifikat kaufen, um wieder dem kostenlosen Zertifikatsanbieter beweisen zu können, dass einem die Domain noch gehört.
Wieso "Mist"?
Weil die Wertung einer Seite als "unsicher", bloß weil sie HTTP verwendet, einfach nicht richtig ist. Die unverschlüsselte Verbreitung einer Information ist genauso wenig "unsicher", wie das Aufhängen eines Plakats an einer Litfaßsäule. Unpräzise Meldungen sorgen für Verwirrung und Schaden.
Schlimmer ist aber noch, dass sie zum Wiegen in falscher Sicherheit führen können: Auch Internetkriminelle können sich TLS-Zertifikate besorgen. Sie können eine*n zum Zweck des Phishings** auf eine gefälschte HTTPS-Seite locken. Solch eine Seite ist dann verschlüsselt aber keineswegs "sicher".***
Vielleicht alles nur ein Missverständnis?
Bewertet Google wirklich die Seite als "unsicher" oder ist es nur ein Hinweis auf die Verbindung, der unglücklich als Bewertung der Site rüberkommt?
Im Security-Blog von Google finde ich jedoch die Aussage:
"[...] we'll mark HTTP pages [...] as part of a long-term plan to mark all HTTP sites as non secure."
Das ist deutlich. Es geht darum, HTTP-Sites das Attribut "non secure" zu verpassen.
Wie geht die matiq UG mit dem Thema um?
Eine Reihe intern genutzte Web-Apps laufen seit Jahren unter HTTPS mit selbst erstellten Zertifikaten. (Als wir dieses System entwickelten, gab es noch keine kostenlosen Zertifikatsdienste.) Damit wurden Logins und andere vertrauliche Daten unabhängig von Google bereits geschützt. key.matiq musste natürlich unter HTTPS mit einem Zertifikat einer allgemein anerkannten Zertifizierungsstelle laufen. Inzwischen haben wir die von uns gehosteten Homepages auf Zertifikate eines kostenlosen Zertifikatsdienstes umgestellt und bieten damit auch www.matiq.com unter HTTPS an.
Aha, man fühlte sich selbst bedrängt und war deshalb sauer?
Kann ich nicht ganz ausschließen. Aber wenn es nur das wäre, hätte ich diesen Artikel nicht geschrieben, sondern die Zeit darauf verwandt, schon früher unsere Homepage auf HTTPS umzustellen.
Und wir hätten denjenigen unserer Kund*innen, die über uns Webseiten betreiben, vorgeschlagen, dies ebenfalls zu tun. Die Kund*innen hätte es etwas gekostet, uns aber Umsatz gebracht. Doch ich persönlich mag solchen Opportunismus nicht.
Nein, meine Hauptkritikpunkte sind zusammengefasst: Die Meldung ist schlicht falsch. Unsicher ist unsere Welt, nicht das einfache "Internet-Plakat". Und Google sollte sich erst einmal an die eigene Nase fassen. Vor allem aber: Wird an der falschen Stelle "unsicher" gerufen, erschwert dies, wirkliche Gefahren zu erkennen.
Jedenfalls sollte man auch als Unternehmen, dass für mehr Sicherheit sorgt und entsprechende Produkte verkauft, nicht die Panikmache von Google unterstützen, nur um zu versuchen, auf dieser Welle selbst ein bisschen mehr Profit herauszuschlagen.
Da packen wir doch lieber den schreienden Datendieb am Schlawittel ;-) .
*) Hinweise zu Marken Dritter:
"Google Chrome" ist eine Marke der Google Inc.
**) Siehe den Blog-Artikel "Identitätsdiebstahl".
***)
Der ursprüngliche Domainname kann dabei zwar nicht gefälscht werden, aber
eine winzige Abänderung, die kaum auffällig ist, würde schon reichen.
Erkennen Sie den Unterschied zwischen "https://matíq.com" und
"https://matiq.com"? Richtig, der i-Punkt wurde einmal durch einen Akzent
ersetzt. Aber sehen Sie das auch, wenn Sie nicht direkt darauf hingewiesen
werden?