Google Chrome und Firefox entfernen grüne Adressbar
In den bekannten Browsern Chrome und Firefox entfällt mit Beginn des Jahres 2020 bei zukünftigen Versionen ein oft unbemerktes, aber wichtiges Sicherheitsmerkmal. Die Anzeige der grünen Adressbar. Diese zeigte an, wenn eine Webseite über ein EV SSL Zertifikat verfügte. Der Besucher hatte so die Sicherheit, hinter der Webadresse steht ein seriöses Unternehmen oder Organisation. Im Sinne der Websicherheit eine gute Idee, die nun ein Ende findet.
Webseiten und ihre Angebote
Jeder Anbieter im Internet steht vor dem Problem der Glaubwürdigkeit seines Angebotes und der Sicherheit der Kommunikation. Denn wer ein Produkt oder Dienstleistung online erwirbt, muss seine persönlichen Daten an einen für ihn unbekannten Server übermitteln. Abgefragt werden:
- vollständiger Name
- postalische Anschrift
- Geburtsdatum
- Bankverbindung oder Kreditkartennummer für die Zahlungsweise
- gegebenenfalls Kopie des Personalausweises
Gespeichert werden übermittelte Daten meistens in strukturierten Datenbanken, die wiederum mit einem Warenwirtschaftsprogramm beim Anbieter verbunden sind.
Es steht somit die Sicherheit auf der Seite des Webseitenbesuchers zur Diskussion. Denn der Anbieter möchte gerne sein Produkt oder Dienstleistung verkaufen und nicht in Verbindung gebracht werden mit unseriösen Angeboten.
Die Definition der Anbieterseite
Bislang geht die Diskussion von einer sicheren Kommunikation zwischen Webseite und Besucher überwiegend von einem Onlineshop aus. Hier findet bei Kauf eines Produktes ein Vertragsverhältnis statt und die übermittelten Daten gelten als schutzbedürftig. Dabei liegt der Fokus auf eine sichere Verbindung zwischen Besucher und der Anbieterseite.
Jetzt sind die meisten Webseiten aber kein Onlineshop, sondern präsentieren spezielle Informationen zu einem Thema, wie beispielsweise Fotografie, Autos oder Reisen. In den jeweiligen Artikeln eingebunden befinden sich oftmals Werbebanner. Somit sind solche Webseiten ebenfalls Anbieter. Denn angeboten werden Werbeanzeigen, wo der Besucher von sich aus aktiv die Werbung anklicken soll. Der Seitenbetreiber erhält als Gegenleistung eine Provision. Mit dieser Betrachtung steigt die Anforderung an eine Vertrauensstellung für den Besucher exponentiell an.
Die Verpflichtung der Seitenbetreiber
Eine Internetseite mit Informationen und Angeboten zu versehen ist dank der heutigen Content Management Systeme, wie zum Beispiel WordPress, Joomla, Typo3, schnell erledigt. Doch jeder Anbieter kennt auch den hohen Aufwand, der für die Sicherheit betrieben werden muss.
Diese Investitionen dürfen aber als Verpflichtung gegenüber dem Webseitenbesucher bewertet werden. Denn erst dadurch ist ein unseriöser Anbieter zu erkennen, da dieser keinen finanziellen Aufwand betreiben wird. Die Absicherung der gegenseitigen Kommunikation über Sicherheitszertifikate und Protokolle wäre ein solcher Aufwand.
Bei zahlreichen Onlineshops ist die IT-Sicherheit auch auf der Anbieterseite gegeben. Wo diese Sicherheit ausgehebelt wird, ist bei den zahlreichen Webseiten wo Werbeanzeigen eingeblendet werden. Hier hat der Webseitenbetreiber meistens keinen Einfluss auf die geschalteten Anzeigen und dem Datenaustausch.
Warum der Besucher ein Recht auf Sicherheit hat
Wer ein Geschäft betritt, hat die Gewissheit, einen geschützten Raum zu betreten. Daher sind zahlreiche Kunden beim Ladenkauf nicht in einer Fluchthaltung. Da wird der Einkaufswagen inklusive Handtasche unbeaufsichtigt stehen gelassen oder die Geldbörse ist deutlich in der Hosentasche zu sehen. Trifft der Kunde dann noch eine ihm bekannte Person, steht einem lockeren Gespräch nebst unbeaufsichtigtem Einkaufswagen nichts im Weg.
Auf diese Gewissheit hat der Besucher und Kunde einer Webseite ebenfalls ein Anrecht. Er hat ein Recht darauf unbehelligt die ihm zur Verfügung gestellten Informationen und Angebote in Ruhe zu begutachten und zu prüfen. Ebenso darf er darauf vertrauen, dass sein lokaler Speicherplatz nicht für das Ablegen von Dateien seitens der besuchten Webseite missbraucht wird. Denn in einem Supermarkt oder Bekleidungsgeschäft erhält der Kunde auch keine personalisierte Wiedererkennungsmerkmale beim Verlassen des Geschäfts.
Die Verwendung von Zertifikaten
Webseiten und Onlineshops leben vom Vertrauen im Internet. Dies wird seit geraumer Zeit mit der Vergabe von Zertifikaten und einer strikteren Kommunikationsverschlüsselung umgesetzt. Die einfachste Änderung war hierbei sicherlich der Umstieg von „http://“ auf „https://“. Angezeigt wird dies in den Browsern durch ein Schlosssymbol in der Adressleiste.
Damit ist jedoch nicht die Authentizität einer Webseite und dessen Betreiber sichergestellt. Es gibt zwar eine Impressumspflicht, doch kaum ein Nutzer prüft diese Angaben. Das wissen auch unseriöse Anbieter. Hier hilft nur die Überprüfung durch eine neutrale Stelle.
Bei der Verwendung von SSL Zertifikaten geht es um folgende Sicherheitsmerkmale:
- Authentizität die Kommunikation erfolgt tatsächlich mit der in der Adresszeile aufgeführten Domain
- Verschlüsselung Daten zwischen Empfänger und Absender können nicht manipuliert werden
- Vertraulichkeit schutzbedürftige Daten wie Passwörter und Kreditkartenangaben werden verschlüsselt übertragen
Die Zertifizierung durch Extended Validation
Mit der Vergabe eines EV SSL Zertifikates soll das Vertrauen im Internet erhöht werden. Bei diesem Zertifikat handelt es sich um eine umfangreiche Prüfung des Betreibers einer Domain. Beantragen kann ein EV SSL Zertifikat nur eine Organisation oder ein wirtschaftlich selbständiges Unternehmen.
Die Prüfung selbst wird durch ein anerkanntes Unternehmen, welches für die Zertifikatsausstellung zugelassen ist, durchgeführt. Vergleichbar mit den bekannten Ratingagenturen Moody’s oder Standard & Poor’s. Der Antragsteller für ein Extended Validation SSL Zertifikat wird nicht nur schriftlich durch den Zertifikataussteller kontaktiert, sondern auch per Telefon oder einem persönlichen Besuch durch einen Mitarbeiter. Damit ist für die Nutzer der Webseite die geforderte Authentizität sichergestellt.
Ist das EV SSL Zertifikat ausgestellt und in die Webseitenverwaltung eingepflegt, erfolgte bei Aufruf der Webseite mit den Browsern Firefox und Google Chrome eine Änderung in der Adresszeile. Diese erschien in grüner Farbe und der Name des Unternehmens wurde angezeigt.
Der Wegfall der grünen Adressbar bei Firefox und Chrome
Im Jahr 2019 gab Google und Firefox bekannt, in den kommenden Browserversionen die grüne Adressbar nicht mehr zu unterstützen. Wie der Pressemitteilung zu entnehmen war, sei die Anzahl der unsicheren Webseiten stark rückläufig und auch die Nutzer würden der Adressbar kaum Beachtung schenken. Bei beiden Browsern wird nun ein grau hinterlegtes Schloss und der Name des Zertifikatinhabers angezeigt.
Zumindest im Firefox lässt sich die grüne Adressbar wieder aktivieren. Dazu wird in der Adresszeile folgendes eingegeben:
- about:config
- den folgenden Eintrag suchen und auf „True“ ändern: security.identityblock.show_extended_validation
Fazit
Mit dem Wegfall der grünen Adressbar wird die Sicherheit für den Webseitennutzer nicht geringer. Es entfällt zunächst einmal nur ein optisches Signal für eine Webseite, die ihren Nutzern den höchsten Sicherheitsstandard anbietet. Zumindest Firefox bietet eine einfache Lösung an, die grüne Adressbar wieder sichtbar zu machen.
Wichtig für Browserhersteller und Webseitenanbieter ist jedoch die Sicherheit für den Nutzer. Die immer wieder geforderte IT-Sicherheit und das damit verbundene Vertrauen im Internet muss bei allen Überlegungen und Entwicklungen im Vordergrund stehen. Ob die Adressbar dann grün oder grau ist, spielt dabei keine Rolle. Der Nutzer möchte bei Aufruf einer Webseite einen geschützten Raum betreten und sich umschauen und vielleicht auch seine Einkäufe tätigen. Nicht mehr, aber auch nicht weniger.
Hinterlasse einen Kommentar
An der Diskussion beteiligen?Hinterlasse uns deinen Kommentar!