Seit 18. Januar sind die Top Level Domains .bank und .insurance die ersten, nicht von Google betriebenen Domains, die ein neues Sicherheitsprotokoll für eine gesamte TLD durchsetzen.
Die Domains der fTLD Registry Services (fTLD), .bank und .insurance, setzten die neue Art der Verschlüsselung durch – HTTPS Secure Encryption über die HSTS-Preload-Liste. Für die neuen generischen TLDs, die von fTLD angeboten werden, war die Verwendung der HTTPS-Verschlüsselung immer schon erforderlich. Die HSTS-Proload-Liste verhindert, dass nicht konforme, unsichere HTTP-Seiten überhaupt geladen werden. Google hat die beiden TLDs am 18. Januar in die Chrome HSTS-Preload-Liste aufgenommen, um am 5. März 2018 eine vollständige Markteinführung durchzuführen. Damit wird sichergestellt, dass jegliche Kommunikationen und Transaktionen mit .bank und .insurance Domains auf höchstem Niveau mit HTTPS-Verschlüsselung gesichert sind.
Der Vorteil für fTLD, deren Registranten und Kunden der Registranten, insbesondere in der Finanz- und Versicherungsindustrie, wo Vertrauen von größter Bedeutung ist, ist die zusätzliche Sicherheit. Die Kombination von sicheren HTTPS-Seiten mit dem Verifizierungsprozess von fTLD soll das Vertrauen der Kunden stärken, indem sichergestellt wird, dass die Kommunikation und die Transaktionen mit der Webseite verschlüsselt und sicher sind und dass die Organisation diejenige ist, die sie vor gibt zu sein, und nicht eine böswillig gefälschte Webseite, die dazu verwendet wird, persönliche Informationen für kriminelle Zwecke zu sammeln.
Aber was ist HSTS? „Die HTTPS Strict Transport Security (HSTS) Proload-Liste ist in allen gängigen Browsern (Chrome, Firefox, Safari, Internet Explorer/Edge und Opera) integriert“, erklärte Google in einem Beitrag in ihrem Sicherheitsblog. „Es besteht aus einer Liste von Hostnamen, für die Browser automatisch HTTPS-gesicherte Verbindungen erzwingen. Zum Beispiel steht gmail.com auf der Liste, was bedeutet, dass die oben genannten Browser niemals unsichere Verbindungen zu Google Mail herstellen werden. Wenn der Benutzer http://gmail.com eingibt, ändert der Browser diese zuerst auf https://gmail.com um, bevor er die Anfrage abschickt. Dies sorgt für mehr Sicherheit, da der Browser niemals eine http-zu-https-Umleitungsseite lädt, die abgefangen werden könnte.“
Die HSTS-Preload-Liste kann einzelne Domains oder Subdomains und sogar Top Level Domains (TLDs) enthalten, die über die HSTS-Website hinzugefügt werden. Die TLD ist der letzte Teil des Domainnamens, z.B. .com, .net oder .org. Google betreibt 45 TLDs, darunter .google, .how und .soy. „Im Jahr 2015 haben wir die erste sichere TLD erstellt, als wir .google in die HSTS-Preload-Liste aufgenommen haben, und wir bringen jetzt HSTS für eine größere Anzahl unserer TLDs auf den Markt, angefangen mit .foo und .dev.
„Die Verwendung von HSTS auf TLD-Ebene ermöglicht es, dass solche Namensräume standardmäßig sicher sind. Registranten erhalten einen garantierten Schutz für sich und ihre Nutzer, indem sie einfach eine sichere TLD für ihre Website wählen und ein SSL-Zertifikat konfigurieren, ohne dass sie einzelne Domains oder Subdomains in die HSTS-Preload-Liste aufnehmen müssen. Da es normalerweise Monate zwischen dem Hinzufügen eines Domainnamens zur Liste und Browser-Upgrades, die eine Mehrheit der Nutzer erreichen, dauert, bietet die Verwendung einer bereits gesicherten TLD einen sofortigen Schutz statt eines eventuellen Schutzes. Auch das Hinzufügen einer kompletten TLD zur HSTS-Preload-Liste ist effizienter, da alle Domains unter dieser TLD gesichert werden, ohne dass diese Domains einzeln erfasst werden müssen.“
HSTS ist eine Weiterentwicklung von HTTPS. „Verbindungen zu Websites werden mit HTTPS verschlüsselt, wodurch verhindert wird, dass der Webverkehr während der Übertragung abgefangen, verändert oder fehlgeleitet wird. Google hat viele Maßnahmen ergriffen, um den Einsatz von HTTPS sowohl innerhalb von Google als auch im größeren Internet zu verbreiten.“
Google begann im Jahr 2010 damit „standardmäßig HTTPS für Gmail zu nutzen und den Übergang zur verschlüsselten Suche standardmäßig zu starten“. Im Jahr 2014 begann Google damit, andere Websites zur Nutzung von HTTPS zu ermutigen, indem es sicheren Websites einen Ranking-Schub in der Google-Suche gab. Im Jahr 2016 wurde Google Platinsponsor von Let‘s Encrypt, einem Service, der einfache und kostenlose SSL-Zertifikate anbietet. Anfang des Jahres kündigte Google an, dass Chrome Warnungen auf unsicheren Webseiten anzeigen wird, und es hat vor kurzem voll verwaltete SSL-Zertifikate in App Engine eingeführt. Und in Zukunft möchte Google, „dass TLD-weite HSTS zum Sicherheitsstandard für neue TLDs machen“.
