Es ist Zeit, dass HTTPS zum Standard wird

• Ab Chrome 154, das in einem Jahr im Oktober 2026 erscheint, wird die Standard-Browsereinstellung auf „Always Use Secure Connections“ umgestellt
• Diese Einstellung zeigt eine Warnung an und bittet um Erlaubnis, wenn Nutzer eine öffentliche Website ohne HTTPS aufrufen
• Die HTTPS-Akzeptanz stieg von 30–45 % im Jahr 2015 auf 95–99 % im Jahr 2020, stagniert seitdem jedoch
• Chrome plant, einen HTTPS-Erzwingungsmodus standardmäßig nur für öffentliche Websites anzuwenden, um die Unannehmlichkeiten für Nutzer zu minimieren und gleichzeitig das Sicherheitsniveau zu erhöhen
• Ziel dieser Änderung ist es, die Sicherheit im gesamten Web zu stärken und die verbleibenden HTTP-Risiken zu minimieren

Änderung der Chrome-Standardeinstellungen

• Ab Chrome 154, das im Oktober 2026 erscheint, ist die Einstellung „Always Use Secure Connections“ standardmäßig aktiviert
  • Beim ersten Aufruf einer öffentlichen Website ohne HTTPS zeigt Chrome eine Warnung an und bittet um Erlaubnis
  • In Chrome 147 (April 2026) wird dies zunächst für mehr als 1 Milliarde Nutzer mit Enhanced Safe Browsing eingeführt
• Nutzer können diese Einstellung bei Bedarf deaktivieren

Stand der HTTPS-Verbreitung

• Google verfolgt seit mehr als 10 Jahren die HTTPS-Nutzungsrate in Chrome über den HTTPS-Transparenzbericht
  • Anstieg von 30–45 % im Jahr 2015 auf 95–99 % im Jahr 2020
  • Seitdem stagniert das Wachstum
• Dank der hohen Akzeptanz lassen sich nun stärkere Maßnahmen gegen den verbleibenden HTTP-Traffic in Betracht ziehen

Balance zwischen Nutzersicherheit und minimalen Warnungen

• Auch wenn 95 % des gesamten Traffics HTTPS sind, bleiben die restlichen 5 % der HTTP-Zugriffe weiterhin ein Risikofaktor
• Chrome reduziert Unannehmlichkeiten für Nutzer, indem wiederholte Warnungen für dieselbe Website vermieden werden
  • Für häufig besuchte unsichere Websites werden keine wiederholten Warnungen angezeigt
• Private Websites (z. B. 192.168.0.1, Intranet usw.) nutzen weiterhin häufig HTTP, da Zertifikate schwer auszustellen sind
  • Da solche Websites ein geringeres Risiko darstellen, werden Warnungen nur auf öffentliche Websites beschränkt
• Experimente zeigen: Im Modus nur für öffentliche Websites liegt die Rate der Nutzerwarnungen unter 3 %, und die meisten Nutzer erleben höchstens eine Warnung pro Woche

Aktuelle HTTP-Nutzung und Verbesserungsmaßnahmen

• Ein erheblicher Teil des HTTP-Traffics entsteht durch erste Anfragen, die auf HTTPS weitergeleitet werden
• Konfigurationsseiten von Geräten im lokalen Netzwerk nutzen wegen Zertifikatsproblemen oft HTTP
• Chrome führt die Funktion Local Network Access Permission ein
  • Auch von HTTPS-Seiten aus ist nach Zustimmung des Nutzers der Zugriff auf das lokale Netzwerk möglich
  • Dadurch steigen die Möglichkeiten, Konfigurationsseiten lokaler Geräte auf HTTPS umzustellen

Hinweise für Entwickler und IT-Administratoren

• Website-Entwicklern und IT-Administratoren wird empfohlen, die Einstellung „Always Use Secure Connections“ ab sofort zu aktivieren, um potenziell betroffene Websites zu prüfen
• In verwalteten Chrome-Umgebungen (Unternehmen, Bildungseinrichtungen usw.) lassen sich über die offizielle Anleitung folgende Punkte prüfen:
  • Bedingungen für die Anzeige von Warnungen
  • Möglichkeiten zur Abmilderung
  • Methoden zur organisationsspezifischen Richtlinienkonfiguration

Weitere Pläne

• Google verfolgt zusätzlich das Ziel, die Hürden für die Einführung von HTTPS bei Websites im lokalen Netzwerk zu senken