Google hat für seine Domain google.com den Sicherheitsmechanismus HTTP Strict Transport Security (HSTS) implementiert. Das bedeutet, dass ein unverschlüsselter Zugriff auf diese zentrale Google-Domain nicht mehr möglich ist.

HSTS ermöglicht Websitebetreibern, Zugriffe auf HTTPS – die sichere, weil verschlüsselte Variante des Hypertext Transport Protocol – einzuschränken, um Angriffe durch SSL-Stripping und Entführung von Verbindungen als Man-in-the-Middle zu verhindern. Alle großen Browser, darunter Chrome, Edge, Internet Explorer und Safari, unterstützen diesen Standard.

„HSTS verhindert, dass Nutzer versehentlich HTTP-URLs ansteuern, indem es unsichere HTTP-URLs durch sichere HTTPS-URLs ersetzt“, erklärt Jay Brown, den Google im Sicherheitsbereich als Senior Technical Program Manager beschäftigt. „Anwender könnten solche HTTP-URLs ansteuern, indem sie eine Adresse ohne Protokollangabe in die Adresszeile eingeben, oder indem sie Links auf anderen Websites folgen.“

Brown merkt auch an, dass eine Einführung von HSTS normalerweise kein großes Problem darstellt.

Geht man nach der von Chrome verwendeten HSTS-Preload-Liste, zählen die Dienste Docs, Gmail, Hangouts, Inbox und der Play Store zu denen, die von der HSTS-Implementierung betroffen sind. Googles Ziel ist eine Verschlüsselung jeglichen Traffics von und zu seinen Produkten und Diensten, wenn auch nicht von einem Moment auf den anderen. Aktuell sind etwa 80 Prozent der Requests verschlüsselt, die an Googles Server gehen. Dieser Anteil steigt konstant.





Tuesday, August 2, 2016







« Zurück