News Google Chrome: Seiten ohne HTTPS werden als unsicher markiert

[Blutschlumpf]

Sehe ich nicht so. Let's encrypt ist kostenlos.

Und ganze 90 Tage gültig.
Ich habe ein paar kleinere private Seiten, bei denen es vollkommen belanglos ist ob die verschlüsselt sind (im Grunde gebnommen ist es bei den meisten Seiten belanglos solange ich mich nicht irgendwo einlogge), warum nötigt Google mich da so nen Aufwand ohne jeglichen praktischen Nutzen zu betreiben?

Wenn man die Zertifikate auf 10 oder 20 Jahre gültig machen könnte wäre das ja imho ok, aber 3 Monate sind ein Witz, auch 1 Jahr halte ich für teilweise wenig praxistauglich.

 

[Piktogramm]

Nein, das dürfte nicht gehen. Siehst Du ja schon jetzt. Die Werbeblocker funktionieren auch bei SSL-verschlüsselten Seiten, da diese erst ins Spiel kommen, nachdem die Seite an den Client ausgeliefert und entschlüsselt wurden. Erst kurz vor dem Anzeigen der Seite greift der Filter.

Jain. Der klassische Ansatz ist es zu analysieren welche Elemente einer Seite von bekannten Adservern kommen und diese Elemente gar nicht erst abzurufen. Daher rührt auch die mitunter enorme Reduktion des Traffics mit aktivem Blocker. Filter die das Laden von Werbung durchgehen lassen müssen und erst zum Zeitpunkt des Renderns wirken sind selten und nur nötig, wo Werbung und Inhalt so dicht verschmelzen, dass ein getrenntes Laden nicht mehr möglich ist.

Entsprechend hat das Übertragungsprotokoll (in dem Falle https) wie du schon schreibst keinen Einfluss

Ergänzung (10. September 2016)

@Blutschlumpf

Die begrenzte Gültigkeit rührt daher, dass bereits in der Vergangenheit Zertifikate aufgrund von Sicherheitslücken kompromittiert wurden. Bekanntes Beispiel ist da zum Beispiel Heartbleed von OpenSSL. Damals wurde offenbar, dass das zurückziehen kompromittierter Zertifikate in der Masse die dafür gedachte Infrastruktur überfordert und viele Anbieter die Zertifikate erst gar nicht zurückzogen. Entsprechend sind kürzere Gültigkeiten eine Reaktion darauf, um den Schaden im Fall der Fälle gering zu halten.
Da man frisch signierte Zertifikate quasi automatisch bekommen kann, ist das aber auch keine nennenswerte Einschränkung. Zumindest nicht für Leute die verantwortungsvoll sowieso die recht regelmäßigen Sicherheitsupdates für Datenbankserver, PHP-Interpreter und Webserver einspielen.

Ansonsten wirst du von Google zu überhaupt nichts gezwungen.

Ergänzung (10. September 2016)

danke, im Netzwerkbereich ist Verschlüsselung ein Graus, wenn dadurch die mehrfach gestaffelte Sicherheits Funktionen ausser Kraft gesetzt werden und es wieder nur noch auf den Virenscanner am Client ankommt.

Das vor lauter Verschlüsselung auch niemand mehr sieht ob da was im HTTPS Tunnel ist, das da nicht hingehört kommt noch dazu.

Genau, die ganze Verschlüsselung ist das Böse schlechthin und sorgt dafür, dass alles noch unsicherer wird! Weil es ist noch keiner drauf gekommen, dass neben Verschlüsselung auch eine Verifikation der Zertifikate sinnvoll und notwendig ist. Deswegen gibt es da bekannterweise auch keine Methoden für.

 

[leckerKuchen]

Wann kennzeichnet sich Google mal selbst? Ich fiel neulich aus allen Wolken als ich feststellte, dass Google jeder meiner Suchanfragen abspeichert. Seither logge ich mich nach dem Abrufen meiner E-Mails sofort aus. Mein Verständnis von Sicherheit und Datenschutz ist definitiv ein anderes. Beunruhigend, dass jemand über meinen Googleaccount praktisch meinen ganzen Suchverlauf zurückverfolgen könnte.

 

[defekt]

@Blutschlumpf:
Bei Let's Encrypt kann man die Zertifikate per Cronjob automatisiert verlängern.

 

[kachiri]

@Blutschlumpf: Hast du dir die Seite von Let's Encrypt auch mal angeschaut und dich wirklich schlau gemacht? Es ist ohne Probleme möglich und es gibt zig verschiedene Tools die "Neuausstellung" bzw. "Aktualisierung" der Zertifikate zu automatisieren. Der Sinn hinter den Zertifikaten ist ja auch, dass irgendwo eine Kontrolle stattfindet. Wenn ich dafür zahle, dann gehen die Dinger halt entsprechend länger - wenn ich sie kostenlos beziehe, dann kann sie jeder kostenlos beziehen, also womöglich auch Leute, die damit Unfug treiben. Die Zeit bei LE soll ja auch noch verkürzt werden. Der Sinn dahinter ist ja durchaus, dass regelmäßig geprüft wird, ob die Webseite auch den gesetzten Standards entspricht...

 

[Der-Orden-Xar]

Wenn man die Zertifikate auf 10 oder 20 Jahre gültig machen könnte wäre das ja imho ok, aber 3 Monate sind ein Witz, auch 1 Jahr halte ich für teilweise wenig praxistauglich.

Nur mal als Denkanstoß:
Vor 10 Jahren hatten die Zertifikate noch md5 als Signatur und RSA 768 war noch nicht gebrochen.
Mittlerweile ist neben RSA 768 auch RSA 1024 gebrochen und 2048 Bit Standard.
md5 kennt schon keiner mehr bei Zertifikaten und auch der Nachfolger sha1 ist am Aussterben.

deswegen würde ich alles was länger gültig ist als 3 Jahre an Enduser-Zertifikaten mal generell als vertrauensunwürdig bezeichnen und alles über 1 Jahr als unschön (die 13 Monate bei computerbase sind aber jetzt nicht wirklich schlimm )

 

[Tramizu]

Nachdem cb es geschafft hat, komplett auf https umzustellen, stellt sich die Frage, warum es bei z.B. heise immer noch nicht umgesetzt ist. Die Aktion von Google wird aber wohl hoffentlich dazu beitragen, dass immer mehr Seiten auf durchgehende Verschlüsselung setzen.

Geschätzt liegt die Quote für alle Seiten noch unter 5%
Manche große bekannte Seiten wollen noch nicht mal auf diesem verdammten Flash-Player verzichten.

 

[Zombiez]

Habe bis vor kurzem auch StartSSL genutzt, bin aber aus diesem Grund auf Let's Encrypt umgestiegen:

http://www.percya.com/2016/09/wosigns-secret-purchase-of-startcom.html

Die angesprochene Seite letsphish.org aus dem Google-Cache:
https://archive.is/8bSp6

Der Umgang in dieser Angelegenheit sorgt m.E. sowohl bei WoSign als auch bei StartSSL (StartCom) dafür, dass beide CAs nicht vertrauenswürdig erscheinen.

Alle CAs sind nicht vertrauenswürdig! Müssen sie auch nicht sein. Der Privatkey liegt auf deinem Server und die CA kennt den nicht! Die können also deine Verbindung nicht manipulieren, abhören oder ersetzen. Das geht nur, wenn der Staat dahinter steht und das Routing auf eigene Server veranlasst und sich passende Zertifikate ausstellen lässt. Da diese Möglichkeit doch recht lokal begrenzt sind, bist du mit einer chinesischen CA besser beraten als mit einem deutschen.

 

[Valeria]

Stinknormale Seiten die kein https anbieten als unsecure zu brandmarken finde ich falsch.

Zunächst nur Seiten mit Kreditkarteninformationen und Passwörtern

Das begrüße ich, das sollten sie beibehalten.

 

[M@C]

Jede Seite sollte HTTPS unterstuetzen (gar erzwingen), auch statische. Denn eben auch diese koennen durch einen Angreifer kompromittiert werden und dich eventuell dazu bringen ihnen private Details bereitzugeben. Man muss sich im Gegenzug eher die Frage stellen wieso ueberhaupt etwas unverschluesselt sein sollte, die Kosten sind heutzutage minimal.
Es muss einfach bessere Tools und bessere Automatisierung geben, Let's Encrypt ist da ein guter Anfang. Fuer private Anwender und kleine Seiten ist es wunderbar einfach.

Und ganze 90 Tage gültig.
Ich habe ein paar kleinere private Seiten, bei denen es vollkommen belanglos ist ob die verschlüsselt sind (im Grunde gebnommen ist es bei den meisten Seiten belanglos solange ich mich nicht irgendwo einlogge), warum nötigt Google mich da so nen Aufwand ohne jeglichen praktischen Nutzen zu betreiben?

Wenn man die Zertifikate auf 10 oder 20 Jahre gültig machen könnte wäre das ja imho ok, aber 3 Monate sind ein Witz, auch 1 Jahr halte ich für teilweise wenig praxistauglich.

Let's Encrypt will sogar noch weniger als 90 Tage. Stoert doch nicht, man kanns doch easy scripten.

 

[Ycon]

Irgendwie ist bei der Nutzung von "beliebiges-Google-Produkt" jeglicher Gedanke an Sicherheit doch reine Zeitverschwendung.

 

[BunkerFunker]

Immer dieses Märchen von Sicherheit durch HTTPS. Vor einigen Jahren dachte ich noch CB hätte ein wenig mehr Niveau, aber man lernt eben dazu.

 

[Autokiller677]

Immer dieses Märchen von Sicherheit durch HTTPS. Vor einigen Jahren dachte ich noch CB hätte ein wenig mehr Niveau, aber man lernt eben dazu.

Immer diese genialen Geister, die so abgehoben sind um dem dummen Volk ihre unglaubliche Weisheit zu erläutern... Was genau wird jetzt mit HTTPS unsicherer als vorher? Nichts. Gibt es Aspekte die Sicherer werden? Auf jeden Fall (offene WLAN's, keine Manipulation während der Übertragung möglich etc.).

Also ja: HTTPS schafft mehr Sicherheit. Nicht perfekte Sicherheit gegen alles und jeden.

 

[Domi83]

Zu der Thematik "Let's Encrypt", ich nutze es auch.. sogar mit autorenew, aber was machen Leute die nur Webhosting bei Anbieter XY haben? Nicht jeder bietet dir SSL Zertifikate, und schon gar nicht von Let's Encrypt. DIE sind dann wieder aufgeschmissen.

Persönlich sehe ich es aber auch wie jemand von Seite 1, nicht jede Seite benötigt ein Zertifikat. Da wo personenbezogene Daten oder Kennwörter eingegeben werden, mag das durchaus Sinn machen. Aber wenn Frau Müller eine Seite erstellt hat auf der sie erklärt, wie man Socken strickt, muss diese nicht zwingend via SSL Zertifikat abgeschottet werden.

Ist aber nur meine Meinung
Gruß, Domi

 

[Teralios]

...

Ob es das richtige Signal ist?

Selbst unter [wirklichen] Experten ist dieser Zwang - den Google nun aufbaut - umstritten. Es gibt Gründe die für HTTPS sprechen, es gibt allerdings auch je nach Art der Seite Gründe, die dagegen sprechen/die den Zwang zu HTTPS doch als eher witzlos dastehen lassen.

Ebenso garantiert HTTPS alleine keine wirkliche Sicherheit und kann sogar gefährlich werden, da unbedachte Nutzer sich eben in falscher Sicherheit wiegen. "Oh, dass Schloss im Browser ist Grün, da ist ja alles in Butter." Und schwuppdiwupp ist man auf einen Fishing-Versuch reingefallen.

Der Vorstoß von Google ist in dem Fall zwar bedingt begrüßenswert, es ist allerdings nur ein Baustein.

Sehe ich nicht so. Let's encrypt ist kostenlos.

Nur dass nicht jeder einen eigenen Server nutzt, sondern teilweise Webspace von der Stange. Dort eigene Zertifikate zu nutzen ist mal mehr oder weniger unmöglich.

Gut durch Let's Entcrypt bieten nun viele Hoster kostenlose SSL-Zertifikate für die Domain an, leider selten oder gar nicht für Bestandskunden. Will man nun zu einem kostenlosen SSL-Zertifikat kommen, ist es in der Regel mit Arbeit verbunden und auch nicht gerade wenig. Für ein Hobby ist es dann doch etwas viel Aufwand, bei dem auch viel schieflaufen kann.

...

Die kurze Gültigkeit ist jedoch durchaus ein Gewinn an Sicherheit. Je kürzer die Laufzeiten, umso besser ist es eigentlich.

...

Eine gute Möglichkeit, doch bei komplexeren Strukturen ist es dennoch mit Aufwand verbunden, auch wenn das eigentliche Zertifikat durch einen Cronjob erneuert werden kann.

...

Und dennoch kommt es auch bei HTTPS oft zu entsprechenden Angriffen und entsprechende Symbolik im Browser sorgt dafür, dass sich viele Menschen dennoch in Sicherheit wiegen und teilweise noch unbedachter handeln.

Wer die Diskussion in entsprechenden Fachpublikationen verfolgt und auf den entsprechenden Kongresse genau umhört, merkt schnell: Mit HTTPS ist es nicht getan.

Der Schritt von Google mag zwar erst mal sinnvoll erscheinen, doch es muss eigentlich viel mehr getan werden und auch das System hinter HTTPS mit den Zertifikaten müsste dringend mal überarbeitet werden.

 

[M@C]

Und dennoch kommt es auch bei HTTPS oft zu entsprechenden Angriffen und entsprechende Symbolik im Browser sorgt dafür, dass sich viele Menschen dennoch in Sicherheit wiegen und teilweise noch unbedachter handeln.

Wer die Diskussion in entsprechenden Fachpublikationen verfolgt und auf den entsprechenden Kongresse genau umhört, merkt schnell: Mit HTTPS ist es nicht getan.

Der Schritt von Google mag zwar erst mal sinnvoll erscheinen, doch es muss eigentlich viel mehr getan werden und auch das System hinter HTTPS mit den Zertifikaten müsste dringend mal überarbeitet werden.

Ich habe auch nie behauptet, dass HTTPS der Heilige Gral ist. Aber es ist immerhin ein Stückchen in die richtige Richtung.
Ich lese selbst die ein oder andere Publikation aus dem Bereich und es gibt sehr interessante Ansätze. Leider sind die oft ohne entsprechenden Rückhalt aus der Industrie nicht umzusetzen.

 

[TheK]

Na endlich. Es erscheint schon absurd, dass selbst einem bei einem gerade abgelaufenen Zertifikat erstmal der Zugriff auf die Seite verweigert wird, aber wenn die Seite nicht einmal irgendwelche Sicherheit versucht, ist alles in Ordnung. Manche Meldungen klingen echt wie "Vorsicht, die Seite ist verschlüsselt!"…

Natürlich muss man jetzt noch fragwürdige Algos rauswerfen (passiert auch schon) und vor allem die Zertifikate strenger überwacht werden. Eine Meldung, wenn ein anderes verwendet wird als beim letzten Versuch, wäre da schonmal ein sehr guter Ansatz…

 

[crvn075]

Immer dieses Märchen von Sicherheit durch HTTPS. Vor einigen Jahren dachte ich noch CB hätte ein wenig mehr Niveau, aber man lernt eben dazu.

Kannst du das mal ausführen?

 

[fuyuhasugu]

Das ist eben alles nicht so trivial. Je nach CMS kann vor allem die Umstellung alter Inhalte Probleme bereiten (absolute URLs). Weiterhin ist Werbung eben ein großes Thema: Google ist auch in der Hinsicht (AdSense) ein Vorreiter, bei vielen anderen Netzwerken kommt HTTPs erst langsam.

Man könnte einfach stückchenweise umstellen oder nur mit neuen Inhalten anfangen. Die ganz alten Beiträge sind sowieso auf "nur-lesen" gesetzt, da sind also auch keine neuen Forenbeiträge mehr möglich. Aber selbst die könnte man eigentlich mit einem internen http-htpps-Proxy per https ausliefern, ohne viel am Inhalt zu ändern, was bei Werbung nicht funktioniert, weil diese von außen eingebunden wird.
Aber bei heise.de lief ja selbst die Nutzeranmeldung bis weit in die 2000er noch ohne Verschlüsselung. Meiner Meinung nach für einen Verlag, der sich schon in den 1980er Jahren mit dem Themenkomplex Informationstechnolgien auseinandergesetzt hat und dessen online-Auftritt nur zwei Jahre nach der ersten https-Variante von 1994 entstand eine Blamage.

 

[Blutschlumpf]

Let's Encrypt will sogar noch weniger als 90 Tage. Stoert doch nicht, man kanns doch easy scripten.

Ja, wenn das Zertifikat nur auf dem Webserver liegt und du cronjobs ausführen kannst.
Was machst du mit dem LB-Setup, bei dem Server und LB die Zertifikate drauf haben (z.B. für ne session- oder cookie-basierte Stickyness)?
Was machst du wenn du auf den Server und/oder LB gar nicht drauf kommst (weil der für x Euro im Monat gemietet ist)?

Von den ganzen "ups, da hat der cron nicht funktioniert, jetzt war die seite nen halben Tag tot"-Problemen will ich gar nicht erst anfangen.

Nennt mir doch einen vernünftigen Grund warum ich als Betreiber der Webseite xy nicht sagen können soll "Da sind keine personenbezogenen Daten drauf, darüber passiert keine User-Kommunikation, alles hier ist eh public. Ich brauche keine Verschlüsselung, die kostet nur unnötig Rechenleistung und Multiplexing bringt mir hier auch nichts." ohne dass die Seite vom Browser dafür irgendwann diskreditiert wird und meine Besucherzahlen sinken weil Google meint mir Vorschriften machen zu müssen.
Bisher habe ich keinen gesehen.