ZURÜCK ZU NACHRICHTEN
ForschungNiedrig

Chrome erzwingt HTTPS standardmäßig ab 2026: Was Sicherheitsteams wissen müssen

3 Min. LesezeitQuelle: Google Security Blog
Chrome security settings showing 'Always Use Secure Connections' toggle for HTTPS enforcement

Google führt ab Oktober 2026 HTTPS als Standard in Chrome ein. Erfahren Sie, wie Sicherheitsteams sich auf die Änderung vorbereiten und Risiken minimieren können.

Chrome erzwingt HTTPS standardmäßig ab Oktober 2026

Google hat angekündigt, dass Chrome ab Version 154 im Oktober 2026 die Einstellung „Immer sichere Verbindungen verwenden“ standardmäßig aktivieren wird. Diese Änderung erfordert eine Nutzerbestätigung, bevor auf öffentliche Websites ohne HTTPS zugegriffen werden kann, und markiert einen bedeutenden Wandel in der Sicherheitsstrategie des Browsers.

Wichtige Details

  • Zeitplan: Die Funktion wird zunächst für Nutzer von „Erweiterter Safe Browsing“ in Chrome 147 (April 2026) ausgerollt, bevor sie in Chrome 154 (Oktober 2026) für alle Nutzer standardmäßig aktiviert wird.
  • Geltungsbereich: Die Einstellung betrifft nur öffentliche Websites und schließt private/lokale Netzwerkadressen aus (z. B. 192.168.0.1, intranet/).
  • Auswirkungen auf Nutzer: Chrome zeigt eine überspringbare Warnung für nicht-HTTPS-Websites an, wobei die Häufigkeit auf neue oder selten besuchte Domains beschränkt ist, um Störungen zu minimieren.

Technische Begründung

Googles Entscheidung basiert auf den anhaltenden Sicherheitsrisiken von HTTP, darunter:

  • Man-in-the-Middle-Angriffe (MITM): Angreifer können Navigationen kapern, um Malware einzuschleusen, Schwachstellen auszunutzen oder Phishing-Angriffe durchzuführen. Googles Threat Analysis Group hat reale Exploits dokumentiert, die HTTP für gezielte Angriffe nutzen.
  • Unsichtbare Weiterleitungen: Viele HTTP-Websites leiten sofort auf HTTPS um, wodurch die anfängliche unsichere Verbindung für Nutzer und die „Nicht sicher“-Warnungen von Chrome verborgen bleibt.
  • Stagnierende HTTPS-Einführung: Obwohl 95–99 % der öffentlichen Website-Navigationen mittlerweile HTTPS nutzen (laut Googles Transparenzbericht), birgt der verbleibende 5 %-Anteil an HTTP-Traffic weiterhin erhebliche Risiken. Private/lokale Websites hinken hinterher, mit einer Adoptionsrate von nur 84 % unter Linux.

Analyse der Auswirkungen

Sicherheitsvorteile

  • Reduzierte Angriffsfläche: HTTPS als Standard mindert MITM-Risiken für öffentliche Websites, die bevorzugte Ziele für Exploits sind.
  • Förderung der HTTPS-Migration: Organisationen mit übersehenen HTTP-Websites (z. B. solche mit HTTP-zu-HTTPS-Weiterleitungen) werden motiviert, vollständig auf HTTPS umzusteigen.
  • Verbesserungen für lokale Netzwerke: Googles Local Network Access-Berechtigung ermöglicht HTTPS-Websites, gemischte Inhalte für genehmigte lokale Geräte zu umgehen, was sichere Konfigurationen unterstützt.

Mögliche Herausforderungen

  • Reibungspunkte in Unternehmen/lokalen Netzwerken: Private Websites (z. B. Router, IoT-Geräte) verfügen oft nicht über HTTPS-Zertifikate, da sie keine eindeutigen Namen verwenden (z. B. 192.168.0.1). Diese stellen jedoch ein geringeres Risiko dar als öffentliche Websites.
  • Nutzerermüdung: Obwohl Warnungen auf neue/selten besuchte Websites beschränkt sind, könnten einige Nutzer sie dennoch als störend empfinden. Die Einstellung bleibt deaktivierbar.

Empfehlungen

  1. Für Sicherheitsteams

    • HTTP-Nutzung prüfen: Aktivieren Sie „Immer sichere Verbindungen verwenden“ bereits heute in Chrome (chrome://settings/security), um Websites zu identifizieren, die eine HTTPS-Migration benötigen.
    • Öffentliche Websites priorisieren: Konzentrieren Sie sich auf Domains mit HTTP-Weiterleitungen oder gemischten Inhalten, da diese am ehesten Warnungen auslösen.
    • Lokale Netzwerkberechtigungen nutzen: Verwenden Sie die Local Network Access API von Chrome, um HTTPS-Interaktionen mit lokalen Geräten abzusichern.

  2. Für Entwickler/IT-Administratoren

    • Googles Leitfäden prüfen: Konsultieren Sie den Adoptionsleitfaden für unternehmensspezifische Lösungen.
    • Vorab testen: Setzen Sie Chrome 147 (April 2026) ein, um die Kompatibilität mit internen Tools und privaten Websites zu validieren.

  3. Für Website-Betreiber

    • HTTP-Weiterleitungen eliminieren: Stellen Sie sicher, dass alle öffentlichen Domains direkt über HTTPS geladen werden, um Warnungen zu vermeiden.
    • Zertifikate für private Websites beschaffen: Nutzen Sie Lösungen wie Let’s Encrypt oder interne CAs für lokale Netzwerke.

Ausblick

Google plant, die Hürden für die HTTPS-Einführung weiter zu senken, insbesondere für Websites in lokalen Netzwerken. Zukünftige Updates könnten den Schutz auf private Domains ausweiten, allerdings wurde hierfür noch kein Zeitplan bekannt gegeben.

Sicherheitsteams sollten diese Änderung als Anstoß nutzen, um verbleibende HTTP-Abhängigkeiten zu beseitigen und die webbasierte Infrastruktur gegen MITM-Bedrohungen zu härten.

Veröffentlicht vom Chrome Security Team (Chris Thompson, Mustafa Emre Acer, Serena Chen, Joe DeBlasio, Emily Stark, David Adrian).

Teilen

TwitterLinkedIn