Die Loginseite des Shops im Browser Chrome

Gestern jagte mir eine Kundin einen Riesenschrecken ein, denn in der Anmerkung zu ihrer Onlinebestellung schrieb sie:
“P.S. Übrigens wird Ihre Internetseite als nicht sicher angezeigt!!!”.

Sicherheits-Paranoia

“Kann gar nicht sein” war mein erster Gedanke, denn sowohl unser Hoster wie auch ich kultivieren in Sachen Sicherheit eine ziemlich ausgeprägte Paranoia – und man kann als Webseitenbetreiber dieser Hinsicht eigentlich gar nicht genug übertreiben.

Klar, daß der erste Schritt zahlreiche Sicherheitschecks waren, bei denen ich nichts, aber auch gar nichts Ungewöhnliches feststellen konnte.

Natürlich gibt es gelegentlich Hackversuche (die Betonung liegt auf Versuche), das kennt jeder Webseitenbetreiber. Aber an unseren Sicherheitsmaßnahmen haben sich die bösen Buben und Mädels bisher noch alle die Zähne ausgebissen. Und das wird auch so bleiben, basta!

Google Chrome und die SSL-Verschlüsselung

Schritt 2 war die Kontaktaufnahme zur Kundin, da ich beim besten Willen nicht nachvollziehen konnte, wie sie zu dieser “unsicher”-Aussage kam.

Die Dame schickte mir freundlicherweise ein Bildschirmfoto, auf dem klar zu erkennen war, daß bei Google Chrome das “https” in der URL-Zeile rot durchgestrichen gezeigt wird, womit der Browser den Benutzer darauf aufmerksam machen möchte, daß hier eine “unsichere” Seite besucht wird.

Alle anderen, gängigen Browser, sowohl auf Windows wie auch auf dem Apple zeigen ganz normal die URL mit “https” für die sichere, verschlüsselte Verbindung an.

Klugsch…wätzer Chrome

Inzwischen habe ich erfahren, daß Google für seinen Browser schlichtweg die Vorgaben für die Bewertung von SSL-Zertifikaten geändert hat – offensichtlich in einem Alleingang, dessen Auswirkung alle Webseitenbetreiber betrifft, deren Serverzertifikat für die SSL-Verschlüsselung vor Mai 2014 ausgestellt wurde.

Da unser Zertifikat mit einer Laufzeit von vier Jahren im Sommer 2013 ausgestellt wurde, sind wir hiermit durch’s Raster gefallen.

Als Mac-Nutzer verwende ich Firefox und Safari; Windows mit den dort gängigen Browsern benutze ich nur selten und zu Testzwecken, wenn es auf den Webseiten größere Umbauten zu testen gilt. Ergo bekomme ich solche browserspezifischen Feinheiten natürlich nicht mit, es sei denn, ein freundlicher Kunde stupst mich mit der Nase darauf.

Trotzdem sicher

Auch wenn Chrome aufgrund seiner veränderten Vorgaben das zur Zeit noch verwendete SSL-Zertifikat nicht mehr akzeptiert, heißt dies nicht, daß die Datenübertragung nun unsicher ist, sondern lediglich, daß Chrome sich die Freiheit (oder besser: Frechheit) herausnimmt, neue Regeln aufzustellen und Internetnutzer unnötig zu verunsichern.

Die Daten werden selbstverständlich nach wie vor verschlüsselt übertragen!

Ein wenig ärgerlich finde ich es allerdings, daß der Lieferant unseres SSL-Zertifikats es nicht für nötig befunden hat, seine Kunden auf das Chrome-Problem hinzuweisen. Das Update bekommt man zwar ohne Zusatzkosten, aber einen sachdienlichen Hinweis hätte ich durchaus als kundenfreundlichen Service erwartet.

Update der SSL-Verschlüsselung

Kommende Woche wird das SSL-Zertifikat nun ausgetauscht, damit auch die Chromenutzer unter unseren Kunden nicht in unnötiger Angst um ihre Daten leben müssen.