Top Level Domains von Google mit HSTS geschützt
Von der HTTP Strict Transport Security wird der verschlüsselte Website-Zugriff garantiert. Den Schutzmechanismus will Google für seine Top-Level-Domains mit Preload-Listen-Einträgen als Standard ausrüsten.
In Zukunft soll eine größere Anzahl der insgesamt 45 Top-Level-Domains (TLDs) als Standard mit dem Sicherheitsmechanismus HTTP Strict Transport Security (HSTS) ausgestattet werden. Das wurde von Google in einem Blogeintrag mitgeteilt. Registrieren Nutzer eine zugehörige Domain und richten anschließend ein SSL-Zertifikat ein, erhält dieser unmittelbaren Schutz für sich und Webseitenbesucher.
Ein Server kann mithilfe HSTS den Browser anweisen, die Verbindung für einen bestimmten Zeitraum nur mit HTTPS herzustellen. Das erschwert dem Mittelsmann ein Angriff: Wird vom Nutzer zum Beispiel die Adresse http://paypal.com aufgerufen, leitet der Browser direkt zu dieser Webseite um, und ein Angreifer kann die sonst stattfindende Umleitung auf die verschlüsselte Ausgabe mit Tools, wie sslstrip, nicht verhindern.
Auf dem Chrome-Browser stehen zukünftig jegliche Googles Top-Level-Domains auf einer speziellen HSTS-Preload-Liste. Aus dieser Liste stammen die Preload-Listen der gängigsten Browser, wie Firefox, Opera, Edge, Internet Explorer und Safari. TLD-Einträge sorgen dafür, dass die Browser jegliche zugehörigen (Sub-)Domains beständig durch HTTPS aufrufen. Weiterhin wird der zusätzliche Sicherheitsvorteil geboten, dass die Browser beim ersten Seitenaufruf schon erkennen, dass eine sofortige verschlüsselte Verbindung aufgebaut werden soll. Somit sind diese auf keine Rückmeldung des Servers angewiesen.
Keine Kosten – manueller Eintrag in Preload-Liste möglich
Laut einem Blogeintrag von Google ist die TLD .google seit 2015 Bestandteil der Preload-Liste. Diese beginnt mit .foo und .dev und weitere sollen nach und nach folgen. Einen Zeitrahmen für dieses Vorhaben wird von Google nicht angegeben. Unabhängig davon können Webseitenbetreiber einzelne Domains und Subdomains mit aktivem HSTS manuell, und ohne Kosten in die Chromes Preload-Liste eintragen. Laut Google kann es allerdings mehrere Monate andauern, bis nach einem Eintrag die Aktualisierung der Listen mittels Browserupdates durchgeführt wird.
