Evolution von HTTPS bei Google Diensten und bekanntesten Webs
02.02.2018 | Petra Alm
Die Abdeckung des Internets mit dem verschlüsselten Protokoll HTTPS lässt sich statistisch nur schwierig auswerten. Glücklicherweise stehen uns Daten großer Dienstleister zur Verfügung und im Fall des vorliegenden Artikels werden wir uns mit den Schlussfolgerungen der größten Internetfirma der Welt bedienen – mit dem Transparency Report von Google. Diese Untersuchung fasst den Stand der Verschlüsselung bei den Google Diensten und größten Websites zusammen.
Google kämpft um flächendeckende Verschlüsselung
Die größte Suchmaschine und Hersteller des populärsten Browsers Chrome setzt sich langfristig für die flächendeckende Verschlüsselung des Webs ein. Als ein großer Anhänger des verschlüsselten Protokolls ist Google bemüht, auf das Fehlen von HTTPS in seinem Browser Chrome hinzuweisen, deshalb wird bei nicht abgesicherten Log-In Dialogen und Dialogen mit Zahlungsinformationen eine Sicherheitswarnung eingeblendet. Falls das Ingoknito-Fenster aktiviert ist, welches die Privatsphäre des Nutzers schützen soll, warnt Google vor HTTP sogar auf allen Websites.
Die Warnung Nicht sicher weist auf HTTP in dem Inkognito-Modus hin
Der Einsatz eines TLS-Zertifikats bleibt für die Webbetreiber weiterhin freiwillig. Der Nachfolger des bestehenden Web-Protokolls, der sich HTTP/2 nennt, wird in Browsern jedoch nur in der verschlüsselten Form unterstützt. Das Internet wird in Zukunft somit 100 % verschlüsselt werden und wie schnell es zu dieser Evolution kommen wird hängt von der Geschwindigkeit der Verbreitung von HTTP/2 ab.
Statistik der Google Dienste
Schauen wir uns nun die konkreten Ergebnisse des Transparency Reports an. Die Statistiken von HTTPS bei Google-Diensten umfassen den Zeitraum seit Dezember 2013 bis heute. Am Ende des Jahres 2013 wurde von den Verbindungen zu Google-Diensten die Hälfte verschlüsselt und dieser Zustand hat sich allmählich bis zu den aktuellen 89 % erhöht.
Relation der verschlüsselten Verbindungen zu Google Diensten von der Gesamtanzahl. Quelle: transparencyreport.google.com
Vielleicht überlegen Sie gerade, dass 89 % von der Vollkommenheit noch weit entfernt sind und dass noch immer eine große Menge von Daten nicht abgesichert auf die Google Server fließt. Transparency Report bietet uns aber auch eine Statistik der Nutzung von TLS eben nach den einzelnen Diensten an. Aus dieser ist es ersichtlich, dass die Verschlüsselung am wenigstens von den online Anzeigen und von Google Finance ausgenutzt wird, also von Diensten, bei welchen die Verschlüsselung nicht so ausschlaggebend ist.
Relation der verschlüsselten Verbindungen nach den einzelnen Google Diensten. Quelle: transparencyreport.google.com
Aus der Grafik oben geht hervor, dass der Anteil der verschlüssellten Verbindungen bei allen Diensten außer Google Finance steigt. Die von der Sicht des Nutzers wichtigsten Dienste, also Google Drive und Gmail, werden aussschließlich verschlüsselt abgerufen (in der Grafik 100 %).
Wundern Sie sich, warum Google noch immer die nicht verschlüsselten Verbindungen zu seinen Diensten auswertet? Die Antwort ist einfach: Schuld sind Mobilgeräte, bei welchen die nicht verschlüsselten Verbindungen 94,4 % erreichen. Veraltete Geräte unterstützen moderne Verschlüsselung nicht und somit können sie sich nicht über TLS zu den Google Servern verbinden.
Interessant ist auch die Statistik der Nutzung von HTTPS in Chrome nach einzelnen Plattformen. Hier war Android eine lange Zeit an der letzten Stelle und seinen Anteil von 29 % aus dem Jahre 2015 hat der Hersteller Schritt für Schritt auf die aktuellen 66 % verbessert. Somit ist er nicht mehr das schwarze Schaft und hat Chrome auf Linux mit 62 % überholt.
Relation der in Chrome über HTTPS abgerufenenen Websites nach dem Operationssystem Quelle: transparencyreport.google.com
Statistik der bekanntesten Webs der Welt
Die Wichtigkeit der Nutzung von HTTPS auf Servern spiegelt die Statistik der 100 bekanntesten Webs der Welt wider. Laut Google macht deren Betrieb 25 % von der Gesamtmenge der übertragenen Website-Daten auf der Welt aus.
In Transparency Record werden die erwähnten 100 Webs in drei Gruppen aufgeteilt. Bei der ersten Gruppe ist das moderne HTTPS als Default eingeschaltet und diese Gruppe wird von 66 Domains gebildet. Anders gesagt bieten 66 % der populärsten Webs seinen Besuchern eine moderne Verschlüsselung an. Weitere 5 populäre Webs ermöglichen eine Verbindung mittels dem modernen HTTPS, das Protokoll wird jedoch nicht in der Default-Einstellung aktiviert. Von den übrigen 33 Domains unterstützen einige HTTPS überhaupt nicht (26), oder das HTTPS erfüllt nicht die Paramater der modernen Verschlüsselung (7). Es gibt also immer noch Raum für Verbesserungen.
Wie kann man von HTTP auf HTTPS umsteigen?
Als Befürworter des verschlüsselten Protokolls HTTPS empfiehlt Google HTTPS überall einzusetzen. Falls Sie noch immer nicht von dessen Nutzen und sogar Unentbehrlichkeit überzeugt sind, lesen Sie den Artikel Why HTTPS Matters.
Wie Sie HTTPS auf Ihrem Server aktivieren können? Erwerben Sie ein SSL-Zertifikat von SSLmarket.de und Ihr Web wird in wenigen Minuten abgesichert.
Spezialistin für TLS-Zertifikate
DigiCert TLS/SSL Professional
e-mail: info(at)sslmarket.de