Neue Sicherheitsindikatoren in Firefox und Chrome

19.05.2016 | Petra Alm

Die Version 42 des Firefox-Browsers ändert die grafische Darstellung des HTTPS-Protokolls, also seinen Sicherheitsindikator. Auch bei Chrome werden seit Oktober die Fehlermeldungen neu angezeigt. In dem heutigen Artikel schauen wir uns diese neue Abbildung der SSL-Zertifikate auf den HTTPS-Webs an.

Was wird in den Indikatoren geändert?

Gehen wir die Veränderungen in den zwei populärsten Browsern durch.

Mozilla Firefox

In der grafischen Übersicht unten können Sie die wichtigsten Veränderungen sehen. Ein neues Design hat das Symbol von den DV-Zertifikaten bekommen – das typische Sperrschloss ist nicht mehr schwarz, sondern grün. Die vertrauenswürdigsten EV-Zertifikate sind aber gleich geblieben.

Die größten Veränderungen betreffen den gemischten Inhalt, der von dem Browser blockiert wird. Der gemischte Inhalt stellt ein bestimmtes Element der Webseite dar, das über das nicht abgesicherte Protokoll HTTP aufgerufen wird und dem wir uns in dem Artikel Gemischter Inhalt – zerstörte Webseiten und ein Sicherheitsrisiko widmen.

Mozilla teilt den gemischten Inhalt auf zwei Typen – auf den aktiven und auf den passiven. Den passiven Inhalt verursachen zum Beispiel Bilder, die zwar schadlos sind, aber die über HTTPS aufgerufen werden sollten. Den aktiven Inhalt bilden unter anderem Skripts, die für die Benutzer schon gefährlich sein können. Nach dem Aufheben der Blockierung von dem gemischten Inhalt wird dem Benutzer ein gestrichenes Sperrschloss angezeigt (aktiver Inhalt), oder ein Schloss mit einer Dreieck-Warnung (passiver Inhalt).

Vergleich der alten und der neuen Darstellung von HTTPS in Firefox.Vergleich der alten und der neuen Darstellung von HTTPS in Firefox. Maximieren Sie per Mauszeiger.

Gleiche Veränderungen finden Sie auch in der mobilen Version des Browsers Firefox for Android.

Google Chrome

Der zurzeit populärste Browser hat für den gemischten Inhalt die Absicherungssymbole vereinfacht. In den Chrome-Versionen 46 und neueren gibt es nun nur 3 Stände. Ein HTTPS mit dem vermischten Inhalt (allgemein mit „Errors“) wird nicht indiziert und dir Verbindung wird als HTTP angezeigt. Leider können Sie somit einfach um die grüne Adressleiste des EV-Zertifikats kommen. Das durchgestrichene HTTPS wird in Zukunft nur für Zertifikate mit SHA-1 verwendet.

Sicherheitsindikatoren von Google Chrome

Sicherheitsindikatoren von Google Chrome sind einfacher und nur drei.

Eine weitere Veränderung der Benutzeroberfläche wartet auf Chrome in der Version 48, in der die Details über die Verbindung mit dem Server in die Konsole verschoben werden. Nachfolgend möchte Google die Meldung noch mehr vereinfachen und nur zwei Stände verwenden – einen grünen und einen roten.

Apropos, wissen Sie, warum Chrome auf die Verwendung einer veralteten Codier-Suite hinweist? Für eine moderne Codier-Suite hält der Browser nämlich nur solche, die für den Schlüsselaustausch ECDHE verwendet. Der Schlüsselaustausch mit RSA löst die Meldung über die veraltete Codier-Suite aus und für ihre Behebung müssen Sie sich an den Serververwalter wenden, der die Konfiguration und Präferenz von Codier-Suiten anpasst.

Bedingungen einer modernen Codier-Suite nach Chrome:

  • TLS 1.2 oder QUIC (Protokoll)
  • AES_128_GCM oder CHACHA20_POLY1305 (Verschlüsselung)
  • DHE_RSA oder ECDHE_RSA oder ECDHE_ECDSA (key exchange)

Die Information stammt von Google und Sie können sie auf der Webseite TLS/SSL The Chromium Projects finden. OpenSSL kann die Verschlüsselung CHACHA20 nicht, deshalb verwenden Sie ECDHE-RSA-AES128-GCM-SHA256, die nach der Markierung in Google TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 entspricht. Mehr zu dem Problem finden Sie in dem Artikel Why your A grade SSL is 'outdated cryptography' on Chrome. Der Titel macht auf das Paradox aufmerksam, dass die mit der SSLlabs-Note A bewertete HTTPS-Einstellung für Chrome veraltet ist.

Probleme mit dem Zertifikat? Wir beraten Sie

Überprüfen Sie Ihre Domain mit dem SSL-Zertifikat in dem neuen Firefox. Falls Sie etwas Interessantes bemerken, wenden Sie sich an uns. Wir helfen Ihnen gerne, die eventuellen Fehler von Ihrem Web zu beheben. Die Kontakte auf den Kundenservice vom SSLmarket kennen Sie bestimmt und Sie können uns gerne auch auf Facebook oder Twitter fragen.


Petra Alm
Spezialistin für TLS-Zertifikate
DigiCert TLS/SSL Professional
e-mail: info(at)sslmarket.de