Google schützt seine Top-Level-Domains mit HSTS

Google schützt seine Top-Level-Domains mit HSTS

Olivia von Westernhagen

(Bild: dpa, Julian Stratenschulte)

HTTP Strict Transport Security garantiert den verschlüsselten Website-Zugriff. Mit Preload-Listen-Einträgen will Google seine Top-Level-Domains standardmäßig mit dem Schutzmechanismus ausrüsten.

Google will künftig „eine größere Anzahl“ seiner insgesamt 45 Top-Level-Domains (TLDs) standardmäßig mit dem Sicherheitsmechanismus HTTP Strict Transport Security (HSTS) ausstatten. Das teilte das Unternehmen in einem Blogeintrag mit. Wer eine zugehörige Domain registriere und anschließend ein SSL-Zertifikat einrichte, erhalte unmittelbaren Schutz für sich und die Besucher seiner Website.

Mittels HSTS kann ein Server den Browser anweisen, sich für einen bestimmten Zeitraum ausschließlich via HTTPS zu verbinden. Das erschwert Man-in-the-Middle-Angriffe: Ruft der Nutzer etwa die Adresse http://paypal.com auf, steuert der Browser direkt https://paypal.com an, ohne dass ein Angreifer die sonst stattfindende Umleitung auf die verschlüsselte Ausgabe mit Tools wie sslstrip verhindern kann.

Googles Top-Level-Domains stehen künftig auf einer speziellen HSTS-Preload-Liste des Chrome-Browsers. Auf ihr basieren die Preload-Listen der meisten gängigen Browser – darunter Edge, Firefox, Internet Explorer, Opera und Safari. Die TLD-Einträge sorgen dafür, dass die Browser alle zugehörigen (Sub-)Domains dauerhaft via HTTPS aufrufen. Zudem bieten sie den zusätzlichen Sicherheitsvorteil, dass die Browser bereits beim ersten Seitenaufruf „wissen“, dass sofort eine verschlüsselte Verbindung aufgebaut werden soll. Somit sind diese nicht auf eine (durch Angreifer manipulierbare) Rückmeldung des Servers angewiesen.

Manueller Eintrag in Preload-Liste kostenlos möglich

Laut Googles Blogeintrag ist die TLD .google bereits seit 2015 Bestandteil der Preload-Liste; beginnend mit .foo und .dev sollen nun nach und nach weitere folgen. Einen Zeitrahmen für sein Vorhaben nennt das Unternehmen nicht. Unabhängig von Googles Vorhaben können Website-Betreiber auch einzelne Domains und Subdomains mit aktivem HSTS manuell – und kostenlos – in Chromes Preload-Liste eintragen. Google weist allerdings darauf hin, dass zwischen einem solchen Eintrag und der Aktualisierung der Listen mittels Browser-Updates durchaus mehrere Monate vergehen können. (ovw)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.