HTTP soll zum unsicheren Protokoll degradiert werden

    Google plant, in Zukunft Seiten, welche über eine unverschlüsselte HTTP-Verbindung laufen, als unsicher zu markieren:
    https://www.chromium.org/Home/chromium-…p-as-non-secure

    Damit hat auch Mozilla die Ende Juli erst beendete Diskussion neu eröffnet:
    https://mail.mozilla.org/pipermail/fire…ber/002548.html
    https://bugzilla.mozilla.org/show_bug.cgi?id=1041087#c28

    Beginnt jetzt eine neue / moderne Hexenjagd ?

    Es sind doch ganz normale Web-Sites die mit http operieren. Viele Benutzer / Administratoren sind froh, wenn sie so etwas überhaupt erstellen können. Diese Sites gleich als unsicher zu deklarieren kommt doch einer Brandmarkung nahe.

    Ein TLS stellt zwar eine verschlüsselte Kommunikation dar, sagt aber nichts über die dahinter liegende Sicherheitsstruktur aus. Was hilft denn TLS wenn der Server selbst kompromittiert ist ?

    Ganz nebenbei, eine Nichtauszeichnung der normalen Seiten stellt auch auch eine Auszeichnung dar, jedoch ohne Aufwand und ohne mögliche Verunsicherung der Benutzer.

    Mit Hexenjagd hat das ja nun mal überhaupt nichts zu tun. Dass der Weg hin zum verschlüsselten Web geht, das ist klar, die Frage ist nur, wie der Weg dahin ist und wie der Zeitplan aussieht, irgendwann muss man damit halt anfangen, wenn in 20 Jahren unverschlüsselte Verbindungen nicht noch der Standard sein sollen. Es ist nicht so, dass nun ab nächstem Monat jede nicht verschlüsselte Webseite Warnungen werfen würde, aber man wird über die nächsten Jahre Schritt für Schritt aktiv die Verbreitung von HTTPS vorantreiben und dazu gehört auch, ein Bewusstsein über die Defizite unverschlüsselter Verbindungen zu schaffen. Ohne das wird sich überhaupt nichts ändern. Und es gibt heute wirklich kaum noch Gründe, nicht HTTPS einzusetzen, dafür immer mehr Grunde dafür. Meine Projekte laufen mittlerweile auch alle über HTTPS. Ein guter, heute erschienener Artikel dazu:

    http://www.golem.de/news/netzversc…412-111188.html

    Zitat von Sören Hentzschel

    Mit Hexenjagd hat das ja nun mal überhaupt nichts zu tun.

    Mein Beitrag war absichtlich provokativ abgefasst.

    Zitat von Sören Hentzschel

    Dass der Weg hin zum verschlüsselten Web geht,

    An dieser Stelle habe ich mein Problem.
    Ein sichere Kommunikation ist eine Sache, eine andere ist aber die Infrastruktur des Senders und Empfängers.

    Es gab hier im Forum genug Beiträge über von Sicherheitsprogrammen gelesene und modifizierte Inhalte der Sites. Warum sollte das nicht auch von einem intelligent geschriebenen freundlichen Gast möglich sein ?

    Es gibt auch keinerlei Zertifizierung, wie der Betreiber sichere Inhalte bereitstellt und die Daten hütet.

    Bislang sehe ich nur eine angestrebte sichere Straße, sie erhöht meine Glaubwürdigkeit erstmals nicht.

    Zitat von Sören Hentzschel

    Meine Projekte laufen mittlerweile auch alle über HTTPS.

    Ich hätte nichts anderes erwartet. Du bist aber kein normaler Betreiber.

    Nachtrag 18:05.
    Auch gerade bei Golem gelesen: Malware-Welle infiziert Wordpress-Seiten, selbst wenn hier https benutzt werden sollte, es wäre nur ein Feigenblatt.

    Mir scheint deine Erwartung, welche diesen Schritt rechtfertigt, viel zu hoch zu sein. Es geht nicht darum, einen hundertprozentigen Schutz vor allen Gefahren zu erhalten, so etwas gibt es nicht. In jedem Fall ist eine verschlüsselte Verbindung, auch wenn sie keine Sicherheit garantiert, ein Riesen-Fortschritt gegenüber einer unverschlüsselten Verbindung. Darum darf das, was du alles schreibst, einfach kein Grund dafür sein, Verschlüsselung im Web nicht voranzutreiben. Du schreibst, es gibt "keinerlei Zertifizierung, wie der Betreiber sichere Inhalte bereitstellt und die Daten hütet" - mag ja sein, das hat nur überhaupt nichts mit dem Thema zu tun, das ist eine vollkommen andere Baustelle. Es geht hierbei darum, die Übertragung von Daten zu verschlüsseln. Dein Punkt behandelt eine ganz andere Ebene und bedarf ganz eigener Überlegungen, unabhängig von diesen Überlegungen. Das heißt nicht, dass man diese Überlegungen nicht auch anstellen sollte. Aber ein Schritt ist besser als kein Schritt und es gibt keinen Grund, ein verschlüsseltes Web nicht voranzutreiben, nur weil dadurch nicht alle Problemstellen geflickt werden, sondern "nur" ein paar. Oder sehe ich das falsch? ;)

    Nein, das siehst du nicht falsch.
    Und ja, ich hege hohe Anforderungen an die Sicherheit.

    Ich hatte einfach nur die Gruppe der gemeinen Benutzer im Sinn. Für die ist ein z.B. grüner Indikator ein Hinweis auf Sicherheit, dem sie absolut vertrauen. Wenn man nun ein "Unsicher" einführt hat man ohne Gewinn nur verunsicherte Benutzer.

    Und nochmals ja, an einer Baustelle muss man anfangen.

    Zitat von .Hermes

    Diese Sites gleich als unsicher zu deklarieren kommt doch einer Brandmarkung nahe.

    Ganz nebenbei, eine Nichtauszeichnung der normalen Seiten stellt auch auch eine Auszeichnung dar, jedoch ohne Aufwand und ohne mögliche Verunsicherung der Benutzer.

    Wenn man nun ein "Unsicher" einführt hat man ohne Gewinn nur verunsicherte Benutzer.


    Unterschreib.

    Bloß, dass a) der Punkt "ohne Gewinn" falsch ist und b) die Aussage über vermeintlich verunsicherte Benutzer reine Spekulation ist und ziemlich stark von der Umsetzung abhängt, die niemand von uns kennt und noch nicht einmal Google und Mozilla, weil man soweit noch gar nicht ist. ;) Eine Nichtauszeichnung ist der aktuelle Stand, ist also wirklich überhaupt keine Option, wenn man den Status Quo eines standardmäßig unverschlüsselten Webs nicht beibehalten möchte.

    Im Übrigen wird man vermutlich sowieso nochmal unterscheiden müssen und nicht HTTP grundsätzlich als unsicher kennzeichnen könnnen, Mozilla führt beispielsweise mit Firefox 37 verschlüsseltes HTTP/2.0 ein (opportunistische Verschlüsselung).

    Spezifikationen für Interessierte:
    https://httpwg.github.io/http-extensions/alt-svc.html
    https://tools.ietf.org/html/draft-iet…2-encryption-00

    Zitat von Sören Hentzschel

    Eine Nichtauszeichnung ist der aktuelle Stand, ist also wirklich überhaupt keine Option


    Doch, ist es in meinen Augen. Mir schwebt da eher vor, die neuen/sicheren(?) Standards zB farblich hervorzuheben, das sollte reichen.

    Nö, absolut nicht. Verschlüsselte Verbindungen werden doch längst anders dargestellt. Dein Vorschlag beinhaltet nichts anderes als eine optische Änderung dessen, was seit Jahren existiert, ändert demnach gar nichts. Und Farbe wird bereits für EV-Zertifikate verwendet, diese müssen unterscheidbar von Nicht-EV-Zertifikaten bleiben. Aber überhaupt die Idee, an der Darstellung sicherer Verbindungen etwas zu ändern, geht vollkommen an der Idee vorbei, um die es hier geht.

    Natürlich ist das ein sensibles Thema, bei dem man aufpassen muss, wie man es darstellt, ansonsten könnten Nutzer denken, dass der Browser kaputt sei, und den Browser wechseln. Aber du darfst davon ausgehen, dass die Browserhersteller Google, Mozilla, Microsoft und Apple miteinander sprechen und das Vorgehen koordinieren werden. Und ich kann mich auch nur wiederholen, indem ich sage, dass es nicht darum geht, dass ab nächsten Monat plötzlich alle Seiten, die nur über HTTP laufen, Warnungen werfen werden. Es um einen schrittweise Plan beginnend ab 2015, um die unverschlüsselte Übertragung von Daten in den kommenden Jahren zu eliminieren. Und daran kann kaum etwas verkehrt sein, es ist längst überfällig. Es ist schon schade genug, dass man beim Thema standardmäßige Verschlüsselung von HTTP/2.0 zu keinem positiven Ergebnis kam…

    Aber Zertifikate kann man kostenlos erhalten, dafür gibt es immer mehr Anbieter, das einzige (!) ernsthafte Argument gegen HTTPS ist die teilweise nicht so einfache Einrichtung. Aber genau das soll sich ja spätesens mit Let's Encrypt ändern.