Best Practices 07-19-2018

Die Warnung „Nicht sicher“ erscheint in Ihrem Chrome-Browser. Was bedeutet das und was sollten Sie tun?

DigiCert

Zuletzt überarbeitet: August 2021

Ab Version 68 erscheint in der Adresszeile des Browsers Google Chrome die neue Warnung „Nicht sicher“, wenn Sie eine unsichere Webseite aufrufen. In der neuesten Version von Chrome erscheint zudem ein Popup-Fenster mit der Erklärung „Ihre Verbindung mit dieser Seite ist nicht sicher“ und der Empfehlung, auf dieser Seite keine sensiblen Daten einzugeben, wenn Sie auf das „Nicht sicher“ klicken.

Die Warnung „Nicht sicher“ erscheint, wenn die Verbindung zu der betreffenden Seite nicht ausreichend geschützt ist. Damit sollen Sie darauf aufmerksam gemacht werden, dass Daten bei der Übertragung von und zu dieser Webseite nicht gesichert sind und möglicherweise von Angreifern, Hackern oder Stellen mit Zugang zur Internet-Infrastruktur (wie Internetserviceanbietern oder Behörden) gestohlen, gelesen oder verändert werden könnten. Die Warnung „Nicht sicher“ bedeutet nicht, dass Ihr Computer oder die Website, die Sie aufgerufen haben, mit Malware infiziert ist. Sie soll nur darauf hinweisen, dass Ihre Verbindung zu dieser Seite nicht gesichert ist.

Für die Sicherung von Websites sind deren Betreiber verantwortlich. Besucher von Websites können zwar nichts gegen die Warnung „Nicht sicher“ tun, aber sie können die Besitzer der betroffenen Website bitten, stärkere Sicherheitsmaßnahmen zu implementieren. In diesem Artikel erläutern wir, unter welchen Umständen die Warnung „Nicht sicher“ erscheint und was Eigentümer und Besucher von Websites tun können, damit sie wieder verschwindet.

Zuerst sollten wir darauf hinweisen, dass diese Warnung in jedem Browser etwas anders aussieht. Hier sind einige Beispiele.

„Nicht sicher“-Warnung in Chrome:

Not Secure warning in Chrome

„Nicht sicher“-Warnung in Safari:

Not Secure warning in Safari

„Nicht sicher“-Warnung in Firefox:

Not Secure warning in Firefox

HTTP → „Nicht sicher“, HTTPS → „Sicher“

Die Warnung „Nicht sicher“ wird für alle Webseiten angezeigt, die HTTP nutzen, weil mit diesem Protokoll keine sichere Verbindung aufgebaut werden kann. Früher war HTTP das meistgenutzte Übertragungsprotokoll für die Kommunikation im Internet.

In den letzten Jahren wurden viele Websites zu HTTPS – das S steht für „sicher“ – umgestellt. Dieses Protokoll bietet Verschlüsselung und Authentifizierung und wird inzwischen von Millionen von Websites genutzt, darunter denen von Google, Facebook und Amazon, um Ihre Daten zu schützen, während Sie sich Webseiten ansehen, sich anmelden und dort einkaufen.

Hinweis: Manche Websites nutzen nur für einen Teil ihrer Seiten sichere HTTPS-Verbindungen. Das führt dazu, dass Sie die Warnung „Nicht sicher“ auf einigen Seiten sehen und auf anderen nicht.

Wenn Sie eine Website besuchen, besitzen oder betreiben, die HTTP verwendet, und diese Warnung sehen, sollten Sie Folgendes tun:

Für Website-Besitzer und ‑Administratoren

Die Warnung „Nicht sicher“ wird für alle Webseiten angezeigt, die über HTTP übertragen werden, weil dies ein unsicheres Protokoll ist. Wenn Sie diese Warnung auf einer Website sehen, die Ihnen gehört oder von Ihnen verwaltet wird, sollten Sie das Protokoll HTTPS für Ihre Website aktivieren, damit die Warnung verschwindet.

HTTPS nutzt das TLS/SSL-Protokoll, um eine sichere Verbindung aufzubauen, die sowohl verschlüsselt als auch authentifiziert ist. Bevor Sie HTTPS nutzen können, müssen Sie ein oder mehrere TLS/SSL-Zertifikat(e) erwerben, auf Ihrem Webserver installieren und das HTTPS-Protokoll auf diesem Server aktivieren.

Wenn Sie der technische Administrator oder Entwickler einer Website sind, sollten Sie zuerst ermitteln, ob diese bereits HTTPS unterstützt. Einige Websites unterstützen das Protokoll teilweise, das heißt HTTPS wird für einige, aber nicht alle Webseiten genutzt oder ist nicht als Standardprotokoll konfiguriert. Falls das auch auf Ihre Website zutrifft, sollten Sie untersuchen, warum und was Sie tun müssen, um HTTPS standardmäßig und für alle Seiten zu nutzen. Unser Leitfaden zur Konfiguration von HTTPS Everywhere beschreibt die ersten Schritte.

Wenn Sie HTTPS noch gar nicht nutzen, sollten Sie zuerst unseren Leitfaden zur Auswahl des richtigen TLS/SSL-Zertifikatstyps lesen, um herauszufinden, welche Art von TLS-Zertifikat Sie benötigen. Das hängt davon ab, wie viele Domainnamen Sie nutzen und ob Sie Ihr Unternehmen einer strengeren Prüfung unterziehen lassen möchten, um ein hohes Maß an Besuchervertrauen aufzubauen. Anschließend sollten Sie den Leitfaden zu HTTPS Everywhere konsultieren, um zu erfahren, was Sie tun müssen, damit HTTPS standardmäßig genutzt wird.

Da alle führenden Browser – darunter Google Chrome, Mozilla Firefox, Microsoft Edge und Apple Safari – eine Nutzeroberfläche haben, auf der Besucher über unsichere Seiten gewarnt werden, ist es nicht nur aus Sicherheitsgründen, sondern auch zur Bereitstellung einer optimalen Nutzererfahrung wichtig, HTTPS zu unterstützen. Zudem funktionieren viele neue Webtechnologien nur mit HTTPS und einige dieser Technologien können die Leistung Ihrer Website verbessern.

Für Website-Besucher

Sie sehen die Warnung „Nicht sicher“, weil die Webseite oder Website, die Sie aufgerufen haben, keine verschlüsselte Verbindung bereitstellt. Wenn Sie in Chrome eine Website aufrufen, kann der Browser das (unsichere) Protokoll HTTP oder das (sichere) Protokoll HTTPS nutzen, um eine Verbindung zu dieser Website aufzubauen.

Wenn nur eine HTTP-Verbindung aufgebaut werden kann, wird die Warnung „Nicht sicher“ angezeigt. Wir empfehlen, dass Sie auf diesen Seiten keinerlei vertrauliche Transaktionen abwickeln. Sie sollten sich dort beispielsweise nicht anmelden und keine persönlichen oder Zahlungsdaten eingeben. Sogar der Besuch unsicherer Seiten könnte riskant sein, wenn Sie sich Inhalte ansehen, die gefährlich oder in Ihrem Land umstritten sind.

Als Besucher können Sie die Ursache dieser Warnung nicht beheben. Dazu muss der Betreiber der Website ein TLS-Zertifikat erwerben und HTTPS für die Website aktivieren. Dann kann Ihr Browser über das HTTPS-Protokoll eine sichere Verbindung zu der Website herstellen – und wird das automatisch tun, sobald die Website richtig konfiguriert ist.

Wenn Sie die „Nicht sicher“-Warnung für eine Website erhalten, die Sie häufig benutzen, sollten Sie den Website-Betreiber kontaktieren und bitten, HTTPS zu unterstützen. Sie können auch versuchen, dass HTTP in der Adresszeile manuell durch HTTPS zu ersetzen, da manche Websites HTTPS teilweise unterstützen, es aber nicht als Standardprotokoll konfiguriert haben.

Hinweis: Selbst wenn Sie einfach nur im Internet surfen – und zum Beispiel nach Rezepten suchen oder Nachrichten lesen – können Ihr Internetserviceanbieter, Behörden und ähnliche Stellen überwachen, beeinflussen und aufzeichnen, was Sie sich ansehen. Ihre Privatsphäre ist beim Besuch dieser Seiten also nicht geschützt. In öffentlichen WLAN-Netzwerken, zum Beispiel im Café oder am Flughafen, besteht zudem das Risiko, dass Angreifer in Ihrer Nähe – von anderen Computern im selben Netzwerk aus – beobachten, wonach Sie suchen, welche Seiten Sie aufrufen und was Sie dort eingeben.

Featured Stories

What is a CA’s Role in delivering digital trust?

Why certificate automation is an absolute must

11-15-2024

4 steps to secure the IIoT device lifecycle