Am 24.07.2018 wurde die Version 68 von Chrome veröffentlicht. Google ändert mit diesem jüngsten Update seines Browsers die Politik in Sachen SSL/TLS: Neu wird nicht speziell ausgezeichnet, wer SSL/TLS benutzt (Belohnung), sondern es wird gewarnt, wenn eine Webseite noch immer keine Verschlüsselung anbietet (Bestrafung).
Darüber, dass SSL/TLS in Zeiten von letsencrypt.org als Stand der Technik im Sinne der geltenden Datenschutzgesetze in der Schweiz (DSG, VDSG) und der EU (DSGVO/GDPR) gelten, habe ich mich bereits in diesem Post (Verwendung von SSL/TLS ist heute Stand der Technik) geäussert.
Mit der Software von letsencrypt.org erhält jeder Admin gratis und franko sein SSL-Zertifikat. Letsencrypt.org ist Open Source und wird von einer breiten Allianz von Technologieunternehmungen unterstützt. Neuerdings unterstützt letsencrypt.org sogar Wildcardzertifikate für Subdomains. Bis anhin musste für jede Subdomain ein neues Zertifikat erstellt werden. Mit dem certbot von letsencrypt.org kann man ausserdem sogar mit dem simplen Befehl certbot renew sämtliche Zertifikate auf einen Schlag erneuern. Automatisieren lässt sich das ganze via Cron-Eintrag.
Es ist nur eine Frage der Zeit, bis auch Firefox, Safari und Microsoft Edge nachziehen.
Der Umstieg von HTTP auf HTTPS ist aus regulatorischer Sicht längst überfällig (Datenschutzkonformität) und wird sich mit dieser Enforcingstrategie der Browserhersteller auch ganz praktisch auswirken. Betroffene Kunden einer Webseite werden den Support kontaktieren und “Fehlermeldungen” melden, auch wenn aus technischer Sicht gar kein Fehler besteht. Am besten also, man wechselt möglichst rasch auf HTTPS.
Nebenbemerkung zu HTTP/2: Der Nachfolger von HTTP sah ursprünglich vor, dass die Übertragung per SSL standardmässig aktiviert war. Das fand leider keinen Eingang in die RFC, die von der IETF letzten Endes verabschiedet wurden (RFC 7540 und RFC 7541). Wer also einfach HTTP/2 auf seinem Server implementiert, ist noch nicht datenschutzkonform unterwegs.