Google ersetzt das Vorhängeschloss-Symbol in Chrome Version 117

Milliarden Menschen auf der ganzen Welt assoziieren ein Vorhängeschlosssymbol mit einer sicheren, vertrauenswürdigen Website. Aber das wird sich bald ändern – Google Chrome hat angekündigt, das Vorhängeschloss-Symbol ab etwa September 2023 nicht mehr zu verwenden.

Diese Änderung ist jedoch nicht darauf zurückzuführen, dass Google HTTPS nicht mehr für wichtig hält – im Gegenteil. Google erwartet, dass jede Website standardmäßig über HTTPS verfügt.

Warum entfernt Google dieses bekannte Sicherheitsschlosssymbol? Und was bedeutet diese Änderung des Vorhängeschlosssymbols für Ihr Unternehmen, die Website-Sicherheit und die Cybersicherheitsbranche insgesamt?

Lassen Sie es uns klären.

Als weltweit beliebtester Webbrowser bewegt sich Google Chrome „in Richtung eines Webs, das standardmäßig sicher ist“.

Dies bedeutet, dass HTTPS (dh das sichere Hypertext-Übertragungsprotokoll) als Standardsicherheitsbasis für alle Websites betrachtet werden sollte. Historisch gesehen repräsentierte das Vorhängeschloss-Symbol dieses Konzept in Webbrowsern. Das Problem? Das Symbol wurde von Benutzern immer wieder fälschlicherweise als Symbol für eine sichere und nicht für eine sichere Website interpretiert. (Nein, diese Begriffe sind nicht synonym; wir werden später mehr darüber sprechen.)

Aus diesem Grund kündigte das Google Chrome-Sicherheitsteam in einem Chromium-Blogbeitrag vom Mai 2023 seine Abkehr vom traditionellen Vorhängeschloss-Symbol an – einem Schlosssymbol, das seit etwa 40 Jahren mit der Website-Sicherheit in Verbindung gebracht wird. Die Änderung wird mit Chrome-Version 117 wirksam (voraussichtliche Veröffentlichung im September).

Das Vorhängeschloss wird sowohl für Computer- als auch für Mobilbenutzer schrittweise abgeschafft:

Websites, die HTTP verwenden, werden von Google Chrome weiterhin als „Nicht sicher“ gekennzeichnet. Google geht davon aus, dass alle Websites über HTTPS verfügen sollten. Man könnte sagen, dass HTTPS das „absolute Minimum“ ist, das erwartet wird. Kein HTTPS? Ihre Benutzer werden gewarnt, dass Ihre Website „Nicht sicher“ ist.

Also,Was wird Chrome anstelle des Vorhängeschlosssymbols anzeigen?Überzeugen Sie sich selbst:

… Okay. Interessant. So wird es in der Adressleiste des Browsers aussehen, wenn Chrome 117 im Herbst startet:

Hmm. Es ist nicht viel, worüber man nach Hause schreiben kann, wie man so schön sagt. Aber warum macht sich Google die Mühe, ein Symbol zu ersetzen, das es schon seit über 30 Jahren gibt?

Das Google Chrome-Sicherheitsteam gibt an, dass der Schritt (teilweise) auf den Ergebnissen seiner Browser-UI-Sicherheitsstudie basiert, die zeigte, dass die überwältigende Mehrheit der Benutzer nicht „versteht“, was das Schlosssymbol darstellt. Die Online-Studie von Google mit 1.880 Nutzern ergab, dass 89 % der Befragten die Bedeutung des Vorhängeschlosses falsch interpretierten. Laut Chromium-Update:

„Das Ersetzen des Schlosssymbols durch einen neutralen Indikator verhindert das Missverständnis, dass das Schlosssymbol mit der Vertrauenswürdigkeit einer Seite verbunden ist, und betont, dass Sicherheit der Standardzustand in Chrome sein sollte.“

Das ist durchaus in Ordnung, insbesondere wenn man bedenkt, dass 82,6 % der Websites HTTPS als Standardprotokoll verwenden. Das bedeutet, dass auf vier von fünf Websites SSL/TLS-Zertifikate installiert sind – die meisten davon verwenden nur die niedrigste Stufe der Identitätsüberprüfung (d. h. Domänenvalidierung).

Obwohl dieses neue Symbol allgemein gehalten ist und optisch etwas zu wünschen übrig lässt, verstehen wir, woher Google kommt, da viele Nutzer den entscheidenden Unterschied zwischen einer sicheren und geschützten Website nicht erkennen. Aus Sicherheitsgründen ist dies eine entscheidende Abgrenzung, über die wir hier bei Hashed Out oft sprechen.

In der alten Welt war HTTP nicht die Standardeinstellung. HTTPS war etwas Besonderes und wurde daher mit dem Vorhängeschloss-Symbol belohnt. In der neuen Welt wird erwartet, dass jede Website über HTTPS verfügt. Es handelt sich lediglich um „Tischeinsätze“. Wie das Chrome-Team sagt:

„Als HTTPS noch selten war, machte das Schlosssymbol auf den zusätzlichen Schutz aufmerksam, den HTTPS bot. Heutzutage ist dies nicht mehr der Fall, und HTTPS ist die Norm und nicht die Ausnahme, und wir haben Chrome entsprechend weiterentwickelt. […] Wir freuen uns, dass die HTTPS-Einführung im Laufe der Jahre so stark zugenommen hat und dass wir diesen Schritt endlich sicher gehen und uns weiter in Richtung eines Webs bewegen können, das standardmäßig sicher ist.“

Die Ankündigung des Chrome-Sicherheitsteams stellt sicher, dass der Browser weiterhin unsichere Websites identifiziert, indem er diese mit „unsicheren“ Etiketten versehen wird. Aber wenn man bedenkt, dass praktisch jeder ein Domain-Validierungs-SSL/TLS-Zertifikat (DV) in die Hände bekommen kann, bedeutet die vereinfachte Information, dass eine Website allein HTTPS verwendet, nicht viel. Es bedarf einer zusätzlichen Sicherheits- und Verifizierungsebene, um zu beweisen, dass eine Website sicher und vertrauenswürdig ist.

Aus diesem Grund wird es wichtiger denn je sein, Ihre digitale Identität auf Ihrer Website mithilfe von SSL/TLS-Zertifikaten mit Organisationsvalidierung (OV) oder erweiterter Validierung (EV) zu bestätigen. Unternehmen sehen sich zunehmend mit Phishing-Betrügereien, E-Mail-Spoofing und anderen betrugsbezogenen Problemen konfrontiert. Vor diesem Hintergrund ist es angesichts der Entwicklung der Branche hin zu HTTPS als Standard unerlässlich, dass Unternehmen vertrauenswürdige digitale Zertifikate verwenden, die eine überprüfbare digitale Identität ermöglichen.