HTTPS erreicht 50 % Schwelle
Nie war es einfacher, seine Webseite mittels HTTPS verschlüsselt anzubieten. Kostete früher ein entsprechendes Zertifikat Geld, so ist dieses Seit vergangenem Jahr z. B. über Let’s Encrypt kostenfrei zu bekommen. Sicherlich ist auch dies ein Grund, warum der verschlüsselte Datenverkehr zunimmt.
In einem Tweet meldete gestern Josh Aas, dass der Traffic von über 50 % der Webseiten über HTTPS lief. Dabei muss man jedoch beachten, dass hier nur die Nutzer der Firefox Entwicklerversionen berücksichtig werden. Nur diese senden standardmäßig die entsprechenden Daten an Mozilla. (Zum Vergleich: am 9. Oktober lag der der Prozentsatz noch bei 46 Prozent.)
Aber auch Chrome meldet einen Zuwachs bei der HTTPS-Nutzung. In einem Blog Beitrag wurde auch hier die Magische Grenze von 50 % erwähnt.
Sicherlich wird ein Grund nicht der Schutz der Daten der Nutzer sein (was ich persönlich für wichtig erachte) sondern eher, dass Google angekündigt hat, ab Januar vor Seiten zu warnen, welche unverschlüsselt ausgeliefert werden. So gesehen wird die Motivation des ein oder anderen Seitenbetreibers auch sein, einfach keine Warnung im Browser zu erhalten.
Bei all der Freude sollte aber eines nicht vergessen werden. Das HTTPS System im jetzigen Zustand ist krank. Es gibt Vergabestellen welche in den Browsern bzw. den Systemen als vertrauenswürdig eingetragen sind. Den Zertifikaten, welche diese Firmen ausstellen vertraut nun erst einmal mein Browser bzw. mein System.
Aber auch hier geschehen leider zu oft Fehler wie die Vergangenheit gezeigt hat. So war es nicht selten schon möglich, für fremde Domains Zertifikate zu erstellen. Das letzte große Aufsehen erregte WoSign mit dem Rückdatieren von SHA-1 Zertifikaten. Die Folgen sind jetzt aktuell für Kunden von WoSign (und StartCom als Tochter davon) noch nicht abzusehen. Apple hat angeblich ein Root-Zertifikat entfernt. Mozilla diskutiert darüber. Während das für die CA das aus bedeutet ist dies für die Kunden ärgerlich da diese aktuell nicht so wirklich wissen was eigentlich passieren wird. Schlimmstenfalls wachen diese eines Tages auf und den Webseiten wird in einigen Browser nicht mehr vertraut.
Nur welches System ist besser?