Chrome warnt vor unsicheren Websites

Search Console
Unsichere Websites bei Chrome

Warnung vor unsicherer Website: Was ist zu tun?

Bei der Weitergabe von sensiblen Daten wie Passwörtern, Kreditkarteninformationen oder anderen wichtigen personenbezogenen Informationen über das Internet, ist grundsätzlich Vorsicht geboten. Mit  einer unsicheren Verbindung werden Daten unverschlüsselt übertragen und können von allen Computern gelesen werden, die an der Verbindung zwischen Server und Client beteiligt sind.

Sichere Verbindungen

Um eine Website über eine gesicherte SSL-Verbindung, also HTTPS, anbieten zu können, muss ein offizielles SSL-Zertifikat ausgestellt werden. Mit Hilfe eines SSL Zertifikates werden alle Daten verschlüsselt, sind ausschließlich von Server und Client lesbar und nicht mehr so leicht anfällig für Angriffe von außen. Zudem kann die Verwendung einer gesicherten Verbindung Phishing verhindern, da man sicher sein kann, dass die Daten auch an den richtigen Server gesendet werden.

Bei einem Request von z.B. microsoft.com sind mindestens 20 Router in die Verbindung involviert, Access Points wie WIFI Hotspots nicht mitgerechnet. Bei einer ungesicherten und demnach unverschlüsselten Verbindungen ist jeder dieser Hops ein potenzielles Sicherheitsrisiko .


Bild http request

Warnungen in Google Chrome

Daher kennzeichnet Google Chrome (Version 56 und höhere Versionen) seit Januar 2017 Websites als „nicht sicher“, die Formularfelder für Passwörter etc. in einer unsicheren Umgebung abfragen, mit einem „Nicht sicher“ Hinweis.


Warnung unsichere Website Karstadt

Warnung in der Google Search Console

Nicht nur die User werden von Google gewarnt, sondern auch die Webseitenbetreiber: Verwender der Google Search Console (ehemals Google Webmaster Tools) erhalten neuerdings folgende Nachricht:

Ab Januar 2017 kennzeichnet Chrome (Version 56 und höher) Seiten, die Passwörter oder Kreditkarteninformationen erfassen, als „nicht sicher“, es sei denn, die Seiten werden über HTTPS bereitgestellt.
Folgende URLs beinhalten Eingabefelder für Passwörter oder Kreditkarteninformationen, die die neue Chrome-Warnung auslösen. Anhand der Beispiele sehen Sie, wo die Warnungen angezeigt werden, und können so entsprechende Maßnahmen zum Schutz der Nutzerdaten ergreifen. Diese Liste ist nicht vollständig.

Diese neuen Maßnahmen sind wahrscheinlich nur der erste Schritt. Langfristig gesehen wird Google die Reaktion auf Websites ohne SSL-Verschlüsselung vermutlich intensivieren.

Das SSL Zertifikat als wichtiger Rankingfaktor

Eine sichere SSL-Verbindung gilt bereits seit August 2014 als offizielles Rankingelement, dennoch besitzen eine Vielzahl aller Websites bis heute kein Zertifikat. Basierend auf unseren Beobachtungen hat eine SSL Verbindung über alle Branchen hinweg einen positiven Einfluss auf die Rankings. Ganz besonders wichtig ist diese aber im Finanzsektor, dort beeinflusst eine fehlende Verschlüsselung die Positionierung in der organischen Suche sehr stark. Diese Branche ist speziell betroffen, da hier eine Vielzahl sensibler, persönlicher Daten abgefragt werden.

SSL-Verschlüsselung und HTTP2

HTTP/2 wird in Zukunft der neue Übertragungsstandard im Internet sein. Bei HTTP/2 handelt es sich um die Weiterentwicklung vom herkömmlichen, in den 90er Jahren des vergangenen Jahrhunderts etablierten HTTP/1.1, dem Übertragungsprotokoll (Hyper Text Transfer Protocol) von Inhalten im Netz und kann ohne Übertreibung als eine der größten Errungenschaften in der Webtechnology in den letzten 20 Jahren bezeichnet werden.

Der größte Vorteil von HTTP/2 ist ganz klar der Geschwindigkeitszuwachs beim Laden von Webinhalten. Mussten in der Vergangenheit multiple Verbindungen zwischen Server und Client geöffnet werden, können bei HTTP/2 alle Daten über eine Verbindung übertragen werden. Zusätzlich konnten Ressourcen (Bilder, JavaScript, CSS Dateien) in der Vergangenheit nur einzeln nacheinander übertragen werden und hielten somit oft das Rendering der gesamten Seite auf. Auch diese Limitierung entfällt in HTTP/2 durch das sogenannte Multiplexing. Die Push-Funktion erhöht die Schnelligkeit noch einmal enorm. War es in der Vergangenheit so, dass CSS und JavaScript Codes erst nach der Anforderung durch den User vom Server zusätzlich zum regulären Quellcode nachgeladen wurden, schickt dieser die Dateien nun unaufgefordert und direkt beim ersten Aufruf.
Zwar ist HTTP/2 abwärts kompatibel, sprich unterstützt weiterhin rein theoretisch die Auslieferung ohne SSL-Verschlüsselung, doch die gängigen Browser wie Google Chrome, Mozilla Firefox und Opera werden dies nicht tun. Websites ohne nötiges SSL-Zertifikat, die mit dem neuen Protokoll geladen werden, würden dann nicht mehr angezeigt.

Auch wenn sich der neue HTTP/2 Standard derzeit bei vielen Hostern noch nicht durchgesetzt hat, wird dieses in absehbarer Zeit der Fall sein. Webseitenbetreiber sollten sich bereits jetzt um die Umstellung kümmern und von der Bereitstellung einer sicherer Verbindungen profitieren:

  • Mehr Sicherheit zwischen Ihnen und Ihren Kunden und folglich ein positiver Einfluss auf die Conversion Rate
  • Zusätzlicher Ranking Bonus
  • Signifikant höhere Geschwindigkeit nach Umstellung auf HTTP/2

Wie Sie als Unternehmer das Problem beheben

Für Webseitenbetreiber gibt es eine Reihe von Gründen, sich dieser Entwicklung schnellstmöglich anzupassen, um für User weiterhin vertrauenswürdig zu bleiben.

Verwendung von HTTPS-Seiten zum Erfassen vertraulicher Informationen

HTTPS-Verbindungen machen eine verschlüsselte Verbindung zwischen Server und Client möglich, erhöhen also die Sicherheit bei der Übertragung wichtiger, sensibler Daten. Daher sollten Webseitenbetreiber verhindern, dass Chrome-Nutzern bei Besuch Ihrer Seite ein „nicht sicher“ („not secure“) in der Adressleiste angezeigt wird. Eine sichere Verbindung ist nicht nur aus datenschutzrechtlichen Aspekten wichtig, sondern wirkt sich auch positiv auf die Conversion Rate aus. Wird dem potentiellen Kunden allerdings eine nicht sichere Verbindung angezeigt, so wird dieser ggf. abgeschreckt und erkundigt sich womöglich nach Alternativen bei der Konkurrenz.
Anstatt nur Eingabefelder für Passwörter und Kreditkarteninformationen auf sichere, SSL verschlüsselte Seiten zu verschieben, empfiehlt es sich, direkt die gesamte Seite zu verschlüsseln. Auf diese Weise wird nicht nur die Übertragung wichtiger Daten verschlüsselt, was sowohl für Sie als auch für Ihre Kunden eine höhere Sicherheit bedeutet, sondern auch ein einheitliches Nutzererlebnis gewährleistet.

Sie möchten Ihre Website zukünftig sicherer gestalten, aber es mangelt an der technischen Umsetzung? Kein Problem! Das Rheinwunder Team hilft gerne bei der Einrichtung einer SSL-Verschlüsselung und der Umstellung Ihrer Website von http:// auf https://.

Diesen Beitrag Teilen

Hat Ihnen unser Artikel gefallen oder kennen Sie jemanden der diesen Beitrag lesen sollte?
Dann teilen Sie gerne unseren Beitrag!