Chrome bevorzugt künftig HTTPS – auch beim ersten Aufruf

Google macht mit seiner HTTPS-first-Policy weiter. Chrome soll künftig bei Eingabe einer Domain zuerst versuchen, diese Variante aufzurufen.

Lesezeit: 2 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 80 Beiträge

(Bild: monticello / Shutterstock.com)

Von
  • Eva-Maria Weiß

Chrome soll künftig die HTTPS-Variante einer Seite bevorzugen. Gibt man eine Domain ein, versucht der Browser zunächst, diese zu öffnen. Nur wenn es sie nicht gibt, greift Chrome auf HTTP zurück. Die Änderung fügt sich in Googles Bestrebungen HTTPS durchzusetzen. Downloads werden zum Teil blockiert, sofern sie nicht selbst sicher sind und von einer sicheren Seite aus gestartet wurden.

Bisher galt trotzdem, dass Chrome zumindest beim ersten Besuch einer Seite die HTTP-Variante genutzt hat, wenn die Domain ohne den Protokoll-Zusatz eingegeben wurde. Allerdings tauchen bereits seit Jahren Warnungen bei unverschlüsselten Seiten auf. Beim zweiten Besuch weiß der Browser dann über den Strict-Transport-Security-Header, dass eine Seite HTTPS kann – und verweigert daraufhin HTTP-Aufrufe. Wie ghacks.net berichtet, nennt Google die Umstellung auf HTTPS-first "upgraded HTTPS navigations". Sie ist bereits im Quellcode von Chromium zu sehen und damit für die Chromium-basierten Browser verfügbar.

Auch Firefox und Safari haben ähnliche Optionen, allerdings müssen diese manuell ausgewählt werden. Seit Firefox 83 gibt es den HTTPS-only-Modus. Ist dieser aktiviert, versucht der Browser immer eine verschlüsselte Verbindung via HTTPS herzustellen, gibt es sie nicht, erscheint eine Warnung. Der Modus ist in den Einstellungen unter "Datenschutz & Sicherheit" zu finden. Für eine Seite lässt er sich mit einem Klick auf das Schlosssymbol in der Adresszeile deaktivieren.

Auch Apple blendet bei Safari seit Langem Warnhinweise ein, wenn eine HTTP-Seite aufgerufen wird. Als "Experimental Feature" lässt sich bei diesem Browser ein HTTPS-Upgrade einstellen. Apple hat auch eine verkürzte Laufzeit für Zertifikate gefordert und quasi durchgesetzt. Seit September haben diese nur noch eine maximale Gültigkeit von 13 Monaten – sonst werden sie von Safari, Chrome und Firefox als unsicher markiert.

(emw)