Google hat die Sicherheit für Top Level Domains erhöht, indem es HTTP Strict Transport Security – kurz HSTS – implentiert hat. HSTS verhindert, dass man versehentlich zu HTTP-URLs gelangt, weil unsichere HTTP-URLs automatisch in sicherere HTTP-URLs umgewandelt werden. Mit anderen Worten, die Sicherheit wird erhöht.
Die Planung der Implementierung von HSTS hat einige Zeit in Anspruch genommen und Google hat sogar versehentlich ihren Santa Tracker kurz vor Weihnachten 2015 zerstört. Glücklicherweise hatten sie ihn repariert, bevor der Weihnachtsmann und seine Rentiere ihre Reise angetreten haben!
Websites, die nur HTTP verwenden, gelten als unsicher. Google hat die erhöhte Sicherheit für Websites gefördert und 2014 angekündigt, dass sie ihre Suchmaschinen-Algorithmen anpassen würden, so dass Websites, die HTTPS verwenden, einen höheren Rang einnehmen würden. Die Einführung von HSTS ist ein großer Sprung in Sachen Sicherheit und Googles Einsatz wird andere ermutigen, es zu implementieren.
Anfänglich wurde HSTS nur für google.com und später für gmail.com aktiviert. Dies bedeutete, dass Webbrowser mit eingebauter Preload-Liste, was alle wichtigen Webbrowser sind, niemals eine unsichere Verbindung zu diesen Websites herstellen würden.
Registranten unter den TLDs der HSTS-Preload-Liste erhalten garantierten Schutz für sich und ihre Nutzer, indem sie einfach eine sichere TLD für ihre Website auswählen und ein SSL-Zertifikat konfigurieren, ohne dass sie einzelne Domains oder Subdomains in die Liste aufnehmen müssen. Zusätzlich erklärt Google, dass es normalerweise Monate dauert, bis ein Domainname zur Liste hinzugefügt wird und Browser-Upgrades die Mehrheit der Nutzer erreichen. Die Verwendung einer bereits gesicherten TLD bietet jedoch sofortigen Schutz und nicht nur etwaigen Schutz. Auch das Hinzufügen einer kompletten TLD zur HSTS-Preload-Liste ist effizienter, da es alle Domains unter dieser TLD sichert, ohne dass diese Domains einzeln erfasst werden müssen.
Um die Nutzung von HSTS zu fördern, hat Google damit begonnen, einige seiner eigenen TLDs zur Preload-Liste hinzuzufügen, wodurch alle Domainnamen, die unter diesen TLDs registriert sind, standardmäßig sicherer werden. Obwohl noch nicht für die öffentliche Registrierung verfügbar, beabsichtigt Google, einige dieser sicheren TLDs in Kürze für die Registrierung zur Verfügung zu stellen. Google wurden 45 TLDs zugewiesen, darunter .google, .how und .soy und – um einen Anfang zu machen – hat Google HSTS für ihre .foo und .dev auf den Markt gebracht.
