In diesem Artikel möchte ich mal wieder über den aktuellen Stand von “HTTP & HTTPS” berichten. Wir haben ja schon in einem früheren Artikel: “HTTPS-Scanning: Warum es auf der Sophos aktiviert sein sollte” aufgezeigt, dass bei Webseiten immer häufiger HTTPS zum Einsatz kommt. Brauchte man früher noch ein teures Zertifikat, gibt es dies inzwischen Dank “Let’s Encrypt” und ein paar Nachzüglern umsonst.

HTTP wird aussterben

Wie in unserem früheren Blogpost beschrieben, hat sich HTTPS in den letzten paar Jahren sehr schnell verbreitet. Google und Let’s Encrypt werden im Artikel speziell hervorgehoben, aber mittlerweile zwingt z. B. auch Apple ihre iOS-Entwickler, Serveranfragen über HTTPS-Verbindungen zu übermitteln. So werden also auch Verbindungen, welche wir als User meistens nicht sehen, zu einem Grossteil verschlüsselt.

Den eigentlichen Anstoss, dieses Thema wieder aufzufrischen, gab mir ein kürzlich erschienener Blog Post vom Google Security Blog. Darin schreibt Google, dass im Februar 2018 bereits 81 der Top-100-Seiten im Web, standardmässig HTTPS verwenden.

Google hilft mit, HTTP zu verbannen

Bereits Anfang 2017 hat Google angekündigt, HTTP-Seiten als unsicher zu kennzeichnen. Mit der Chrome-Version 68, welche im Juli 2018 erscheinen soll, lässt Google nun seinen Worten auch Taten folgen. Jeder Benutzer, der dann mit der neusten Chrome-Version im Internet unterwegs ist, wird zukünftig vor unsicheren HTTP-Seiten gewarnt. Das sieht dann so aus:

Bildquelle: security.googleblog.com

Es versteht sich von selbst, dass kein Webseitenbetreiber zulassen sollte, dass seine Webseite beim weltweit meist genutzten Browser (Desktop und Mobile), als “nicht sicher” eingestuft wird. Mit dieser kleinen Anpassung hat Google wohl den Rückgang von unsicheren HTTP-Verbindungen weiter beschleunigt.

HTTPS-Scanning aktivieren

Natürlich hat eine solche Veränderung auch Auswirkungen auf die Sicherheit in eurem Netzwerk. Der gesamte Webtraffic auf unserer Firewall, aber auch auf denen unserer Kunden, kommt bereits über 50% verschlüsselt daher. Es wird also immer wichtiger, dass man auch HTTPS scannt, da sonst der Traffic ungeprüft ins Netzwerk gelangt.

Wenn ihr eine gültige Lizenz für die Web Protection besitzt, würden wir euch also wärmstens empfehlen, das HTTPS-Scanning zu aktivieren. Falls ihr dabei Hilfe benötigen soltet, meldet euch einfach bei uns.