Ab April wird Google Chrome standardmäßig sichere HTTPS-Verbindungen verwenden.

Laut Google hat die Umstellung auf das sicherere HTTPS-Webprotokoll ein Plateau erreicht. Ab 2020 verwenden 95 bis 99 Prozent der Navigationen in Chrome HTTPS. Um das Klicken auf Links für Nutzer sicherer zu machen, wird Chrome standardmäßig die Einstellung „Für öffentliche Websites immer sichere Verbindungen verwenden“ für alle Nutzer aktivieren. Dies wird im Oktober 2026 mit der Veröffentlichung von Chrome 154 geschehen.

Die Änderung wird für Benutzer, die den erweiterten Schutz für sicheres Surfen in Chrome aktiviert haben, früher wirksam. Google wird „Immer sichere Verbindungen verwenden“ standardmäßig im April aktivieren, wenn Chrome 147 veröffentlicht wird. Wenn diese Einstellung aktiviert ist, fragt Chrome Sie um Erlaubnis, bevor es zum ersten Mal auf eine öffentliche Website zugreift, die kein HTTPS verwendet.

Google bewegt sich schon seit einiger Zeit in diese Richtung. Chrome begann 2018 damit, Benutzer vor unsicheren HTTP-Websites zu warnen , und im April 2021 wurde standardmäßig HTTPS verwendet . Im darauffolgenden Jahr bot Chrome die Option „Immer sichere Verbindungen verwenden“ auf Opt-in-Basis an.

Wird HTTPS nicht verwendet, kann ein Angreifer die Verbindung relativ einfach umleiten und einen Nutzer mit Malware, Social-Engineering-Angriffen oder anderen Exploits angreifen. „Solche Angriffe sind nicht hypothetisch – Software zum Kapern von Navigationen ist leicht verfügbar, und Angreifer haben bereits unsicheres HTTP genutzt, um Nutzergeräte gezielt anzugreifen“, schrieb das Chrome-Team in einem Blogbeitrag. „Da Angreifer nur eine einzige unsichere Navigation benötigen, müssen sie sich keine Sorgen machen, dass viele Websites HTTPS eingeführt haben – jede einzelne HTTP-Navigation kann einen Ansatzpunkt bieten. Schlimmer noch: Viele Klartext-HTTP-Verbindungen sind heute für Nutzer völlig unsichtbar, da HTTP-Websites sofort auf HTTPS-Websites umleiten können.“ „Immer sichere Verbindungen verwenden“ ist einer der Versuche des Chrome-Teams, solche Risiken zu minimieren.

HTTP-Verbindungen bestehen weiterhin bei der Navigation zu privaten Websites, beispielsweise lokalen IP-Adressen und Firmenintranets. Für private Websites ist es kompliziert, ein HTTPS-Zertifikat zu erhalten (Engadget verfügt seit 2016 über ein solches Zertifikat, Fact-Fans), da derselbe private Name auf verschiedene Hosts in mehreren Netzwerken verweisen kann. Beispielsweise verwenden viele Routerhersteller „192.168.0.1“ als lokale IP-Adresse für den Zugriff auf das Admin-Panel der Hardware. Dennoch sind HTTP-Navigationen zu privaten Websites grundsätzlich weniger riskant als im öffentlichen Web. Sie sind nicht völlig sicher, aber der einzige Angriffsvektor für HTTP auf privaten Websites ist innerhalb des lokalen Netzwerks.