Google Chrome sperrt künftig «Mixed Content»

Das Problem ist so alt, wie es sichere Verbindungen im Internet gibt: Beim Aufruf von Websites via sicherem HTTPS-Protokoll werden Teile der Website, zum Beispiel Bilder, Videos, Scripts oder Schriften, über eine unsichere Verbindung geladen. Für den Browser Grund genug, die Seite trotz gültigem SSL-Zertifikat als «Nicht sicher» zu markieren.

Die Ursache für solche gemischten Inhalte liegt im Quellcode der entsprechenden Seite und lässt sich meist relativ einfach beheben, wie wir auch in einem Artikel in unserem Supportcenter aufzeigen. Trotzdem hält sich «Mixed Content» erstaunlich hartnäckig im Netz.

«Mixed Content hält sich hartnäckig»

Nachdem Google mit seinem Chrome-Browser bereits vor rund einem Jahr damit begonnen hat, unverschlüsselte Websites als “Nicht sicher” zu markieren, will der Konzern nun auch dem Mix zwischen sicheren und unsicheren Verbindungen den Garaus machen. Zwar würden Chrome-Nutzer schon jetzt rund 90 Prozent ihrer Surf-Zeit auf HTTPS-Websites verbringen, wie Google in einem Blogbeitrag schreibt. Doch darin sind auch die Verbindungen mit «Mixed Content» mitgezählt.

Google beginnt deshalb mit der im Dezember erscheinenden Chrome-Version 79 den Browser umzubauen. Version 79 erhält, quasi als Vorbereitung auf die nächsten Schritte, eine neue Einstellung, die es erlaubt, vom Browser blockierten «Mixed Content» manuell und spezifisch pro Website zu entsperren.

Zuerst gehts Audio- und Videodateien an den Kragen…

Mit Version 80, die voraussichtlich im Februar 2020 erscheint, will Chrome dann Audio- und Videodateien, die per unsicherem HTTP eingebunden sind, automatisch via sicherer SSL/TLS-Verbindung laden. Ist das nicht möglich, sperrt Chrome den Zugriff auf die betroffenen Audio- und Videodaten, so dass diese nicht auf der Website angezeigt werden. Zur Not kann der Nutzer die Inhalte aber mittels der in Chrome 79 eingeführten Einstellung entsperren.

Für Websites mit «unsicheren» Bildern hält Chrome 80 eine weitere Überraschung bereit: Werden diese nicht über eine sichere Verbindung geladen, wird die Website im Browser nicht wie bisher nur mit dem ⓘ-Symbol gekennzeichnet, sondern neu gut sichtbar als «Nicht sicher» markiert.

Chrome 80 markiert Mixed Content, wie unverschlüsselte HTTP-Verbindungen, als unsicher.

…später auch Bildern

Im Frühling 2020 dürfte für Chrome-Nutzer dann plötzlich die eine oder andere Website etwas karg aussehen. Ab Chrome 81 sollen nämlich Bilder, die nicht über eine SSL-/TLS-Verbindung geladen werden, komplett blockiert werden.

Im Bestreben, nur noch sichere Verbindungen zwischen Browser und Server durchzusetzen, erhöht Google den Druck mit diesen Neuerungen also noch einmal. Als Website-Entwickler tut man deshalb gut daran, schon jetzt nochmal ein Auge auf bereits bestehende Website-Projekte zu werfen und sicherzustellen, dass dort «Mixed Content» – auch in Plugins und ähnlichem – kein Thema ist. In unserem Supportcenter erfahren Sie, wie Sie «Mixed Content» erkennen und bereinigen können.