Abo
  • Services:
Anzeige
Google-Entwickler werben für HTTPS überall.
Google-Entwickler werben für HTTPS überall. (Bild: Ilya Grigorik)

HSTS: Google führt Liste von reinen HTTPS-Seiten

Für seinen Chrome-Browser führt Google eine Liste von Webseiten, die ausschließlich über HTTPS erreichbar sein sollen. Dort kann sich jeder Webseitenbetreiber eintragen, der die HSTS-Erweiterung nutzt.

Anzeige

Google will offenbar die Verbreitung von Webseiten, die nur noch HTTPS-verschlüsselt abrufbar sind, massiv vorantreiben. Vor kurzem hatte der Konzern bereits angekündigt, HTTPS-Seiten künftig beim Suchmaschinen-Ranking zu bevorzugen. Ab sofort können sich Webseitenbetreiber, deren Webseite die HSTS-Erweiterung nutzt, in eine Liste des Chrome-Browsers eintragen. Diese Seiten können dann nicht mehr über HTTP abgerufen werden.

Webseiten, die ausschließlich verschlüsselt abrufbar sind, leiten üblicherweise Nutzer sofort auf die HTTPS-Version weiter, wenn diese versuchen, die Seite unverschlüsselt über HTTP abzurufen. Doch diese Methode hat einen Nachteil: Das sogenannte SSL-Stripping. Ein Angreifer kann mittels einer Man-in-the-Middle-Attacke verhindern, dass der Nutzer auf die HTTPS-Version weitergeleitet wird und dem Nutzer eine gefälschte Version der Seite via HTTP präsentieren.

Strict Transport Security-Header signalisiert Verschlüsselung

Um das zu verhindern, wurde die Erweiterung HTTP Strict Transport Security (HSTS) eingeführt, ein Header, der dem Browser signalisiert, dass eine Seite in Zukunft nur noch über HTTPS abrufbar sein soll. Der Browser speichert diese Information für einen im Header festgelegten Zeitraum. HSTS ist im RFC 6797 standardisiert.

HSTS funktioniert allerdings nur, wenn der Nutzer eine Seite bereits einmal über eine nicht manipulierte Verbindung abgerufen hat. Ein Angreifer kann weiterhin den allerersten Aufruf einer Seite mittels einer SSL-Stripping-Attacke manipulieren.

Um das zu verhindern, hat Google in den Chrome-Browser bestimmte Seiten voreingestellt, die nur noch über HTTPS abrufbar sind. Der Browser baut dann in keinem Fall eine HTTP-Verbindung auf. Die Liste wird inzwischen auch von Firefox und Safari verwendet. Die Möglichkeit, sich in die entsprechende Liste eintragen zu lassen, will der Konzern auch anderen Anbietern von Webservices ermöglichen.

Liste für reine HTTPS-Seiten

Um sich in diese Liste eintragen zu lassen, mussten Webseitenbetreiber bisher eine E-Mail an Google-Entwickler Adam Langley schreiben. Offenbar wurde zuletzt das Interesse immer größer und dieses Verfahren nicht mehr praktikabel. Google hat jetzt eine Webseite eingerichtet, auf der sich Webseitenbetreiber in die Liste eintragen lassen können. Geprüft werden die Anträge weiterhin manuell.

Um die eigene Webseite in die HSTS-Liste einzutragen, muss sie so konfiguriert sein, dass ein HSTS-Header mit einer Laufzeit von mindestens 18 Wochen gesendet wird. Außerdem müssen auch alle Subdomains über HTTPS erreichbar sein.

Keine Performanceprobleme mit HTTPS

Google verfolgt offenbar das Ziel, dass künftig ein Großteil des Internettraffics nur noch über HTTPS abgewickelt werden soll. Google-Entwickler Ilya Grigorik wirbt auf der Webseite istlsfastyet.com dafür, dass alle Webseiten über HTTPS ausgeliefert werden sollen. Performanceprobleme gebe es kaum noch, wenn die Einstellungen des Servers entsprechend optimiert sind. Grigorik hat kürzlich auf der Velocity-Konferenz einen Vortrag dazu gehalten, in dem auch einige Tipps für Serverbetreiber vorgestellt werden, die ihre TLS-Performance verbessern wollen. Bereits normale HTTPS-Verbindungen lassen sich laut Grigorik ohne große Leistungsverluste abwickeln. Wenn Serverbetreiber auf das von Google entwickelte SPDY-Protokoll wechseln, könnten sie sogar Leistungsgewinne durch den Einsatz von verschlüsselten Verbindungen erzielen.

Google hat bereits vor einigen Jahren angefangen, seine eigenen Webservices nur noch über HTTPS anzubieten. Zunächst galt das für Google Mail, später auch für die Google-Suche und zahlreiche andere Google-Services. Laut Adam Langley hat die Umstellung von Google Mail fast keine Performanceprobleme verursacht und keinerlei zusätzliche Hardware benötigt.


eye home zur Startseite
FibreFoX 06. Okt 2014

Sry, aber startssl ist IMHO nicht wirklich vertrauenswürdig, zumal diverse Probleme bei...

__destruct() 18. Aug 2014

Https ist schon ein eigenes Protokoll. Es ist nur vom Aufbau genauso wie wie http und mit...



Anzeige

Stellenmarkt
  1. Läpple Dienstleistungsgesellschaft mbH, Haßmersheim
  2. Ratbacher GmbH, Raum Köln
  3. Dataport, Hamburg
  4. ARRI Media GmbH, München


Anzeige
Spiele-Angebote
  1. 64,97€/69,97€
  2. 1,49€
  3. 29,99€

Folgen Sie uns
       


  1. Betrugsverdacht

    Amazon Deutschland sperrt willkürlich Marketplace-Händler

  2. Take 2

    GTA 5 bringt weiter Geld in die Kassen

  3. 50 MBit/s

    Bundesland erreicht kompletten Internetausbau ohne Zuschüsse

  4. Microsoft

    Lautloses Surface Pro hält länger durch und bekommt LTE

  5. Matebook X

    Huawei stellt erstes Notebook vor

  6. Smart Home

    Nest bringt Thermostat Ende 2017 nach Deutschland

  7. Biometrie

    Iris-Scanner des Galaxy S8 kann einfach manipuliert werden

  8. Bundesnetzagentur

    Drillisch bekommt eigene Vorwahl zugeteilt

  9. Neuland erforschen

    Deutsches Internet-Institut entsteht in Berlin

  10. Squad

    Valve heuert Entwickler des Kerbal Space Program an



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
3D-Druck bei der Bahn: Mal eben einen Kleiderhaken für 80 Euro drucken
3D-Druck bei der Bahn
Mal eben einen Kleiderhaken für 80 Euro drucken
  1. Bahnchef Richard Lutz Künftig "kein Ticket mehr für die Bahn" notwendig
  2. Flatrate Öffentliches Fahrradleihen kostet 50 Euro im Jahr
  3. Nextbike Berlins neues Fahrradverleihsystem startet

Google I/O: Google verzückt die Entwickler
Google I/O
Google verzückt die Entwickler
  1. Neue Version im Hands On Android TV bekommt eine vernünftige Kanalübersicht
  2. Play Store Google nimmt sich Apps mit schlechten Bewertungen vor
  3. Daydream Standalone-Headsets auf Preisniveau von Vive und Oculus Rift

Panasonic Lumix GH5 im Test: Die Kamera, auf die wir gewartet haben
Panasonic Lumix GH5 im Test
Die Kamera, auf die wir gewartet haben
  1. Die Woche im Video Scharfes Video, spartanisches Windows, spaßige Switch

  1. Re: 16GB RAM Maximum

    Carlo Escobar | 22:26

  2. Re: Aber Suchmaschinen-Bombing ist weiter erlaubt...

    Cok3.Zer0 | 22:24

  3. Re: Inexio = Monopolstellung mit überteuerten...

    RipClaw | 22:16

  4. Re: USB Type-C fehlt

    Carlo Escobar | 22:08

  5. Re: Kommt mir auch auf Kundenseite bekannt vor.

    Niaxa | 22:07


  1. 16:58

  2. 16:10

  3. 15:22

  4. 14:59

  5. 14:30

  6. 14:20

  7. 13:36

  8. 13:20


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel