Es ist Google selbst. Der Internetkonzern hat seit dem 8.5.2018 eine neue Top Level Domain eingeführt. Unter der Endung .app sollen Software-Entwickler zukünftig vertrauenswürdige Online-Präsenzen schaffen können. Denn das Interessante dahinter ist, dass dieses Top Level Domain erstmals verplfichtend auf HTTPS-Verschlüsselung setzt.
Das bedeutet nichts anderes, als dass Verbindungenen zu einer .app Domain ausschließlich über HTTPS hergestellt werden können und somit Inhalte grundsätzlich verschlüsselt übertragen werden. Dies sorgt in vielerlei Hinsicht für mehr Sicherheit für den Besucher einer solchen Webseite, aber auch für den Betreiber der Domain. Einschleusungen bestimmter unerwünschter Inhalte oder das Abgreifen von Daten werden so effektiv ein Riegel vorgschoben.
HTTP Strict Transport Security Technologie und HSTS-Preload-Liste
Für den Aufbau einer solchen HTTPS Verbindungen setzt man auf die HTTP Strict Transport Security Technologie. Diese setzt ganz grundsätzlich eine verschlüsselte Verbindungen vorraussetzt. Neue Websites mit einer .app Endungen werden künftig automatisch in die HSTS-Preload-Liste aufgenommen, welche gängige Browser nutzen.
Durch die HTTP Strict Transport Security Technologie wird vereinfacht ausgedrückt der Browser eines Anwenders angewiesen zukünftig nur noch verschlüsselte Verbindungen zu dieser Domain aufzubauen. Diese Methode findet ihre Einschränkung allerdings darin, dass die Domain ja zunächst einmal, möglicherweise auch unverschlüsselt, aufgrufen werden muss, bevor die Methode wirksam wird. Dieses „Trust On First Use“- Prinzip hebelt die HSTS-Preload-Liste nun aus. Somit sind unverschlüsselte Verbindungen auch schon beim ersten Aufrufen einer Domain unmöglich. Dies schützt den Anwender vor der Aushebelung der Verbindungsverschlüsselung durch eine Downgrade-Attacke als auch vor Session Hijacking.
Sichere „Heimat“ für Software Entwickler
Die Registrierung einer app Domain steht für alle interessierten Enwickler offen. Die Registrierung kann beispielsweise über einen akkreditierten Registrar wie zum Beispiel Domaintechnik.at erfolgen. Google möchte damit erreichen, dass Software- und App Entwickler so die Möglichkeit haben ihre Apps und anderweitige Programme sicher zur Verfügung zu stellen und auf diese Art und Weise die Verbreitung von Malware zu bekämpfen. Laut Meinung Googles leistet das Unternehmen so auch einen Beitrag HTTPS immer stärker zum Standard im Web zu machen.
