Get best of the week

Firefox führt nur HTTPS ein



Ein interessanter Modus ist im Firefox Nightly-Testbuild implementiert. Vielleicht wird es eines Tages standardmäßig aktiviert, aber jetzt sieht es etwas ungewöhnlich aus und muss manuell über die Einstellungen aktiviert werden.

Dies ist der Nur-HTTPS- Modus, in dem Sie Websites nicht über einen unsicheren Kanal herunterladen können . Wenn Sie die Adresse eingeben http://, versucht der Browser, die Anforderung an umzuleiten https://, und blockiert im Fehlerfall den Download. Alle Verbindungen müssen unbedingt verschlüsselt sein.

Wenn nichts Außergewöhnliches passiert, wird die Funktion auf die endgültige Version von Firefox 76 übertragen, die am 5. Mai 2020 veröffentlicht werden soll .

Dies ist eine optionale Funktion, die über die Einstellungen aktiviert wird. Dies erschwert den Zugriff auf die wenigen verbleibenden Sites, die die TLS-Verschlüsselung noch nicht unterstützen.

Laut Firefox-Telemetrie werden derzeit 82,4% der Webseiten weltweit über eine verschlüsselte Verbindung heruntergeladen, in den USA 91%.


Der Anteil der Webseiten, die über HTTPS in Firefox geladen werden, ist ein gleitender Durchschnitt von 14 Monaten. Quelle: Firefox-Telemetrie

2013 initiierte Mozilla die Gründung der Internet Security Research Group, die 2015 den Lets's Encrypt- Dienst startete, um automatisch kostenlose Zertifikate für die TLS-Verschlüsselung auszustellen. Google ist Platin-Sponsor des Dienstes geworden. Vor kurzem dieses Zentrumausgestellt ein milliardstes Zertifikat .


Die Anzahl der aktiven Let's Encrypt-Zertifikate. Quelle: Let's Encrypt

Heutzutage ist HTTPS fast ein Muss für jede Website. Das Fehlen von HTTPS wirkt sich auf die Position in den Suchergebnissen aus und hat schwerwiegende Auswirkungen auf die Privatsphäre im Allgemeinen.

Chrome und Firefox wurden bereits als unsichere Websites ohne HTTPS gekennzeichnet. In Bezug auf die Wahrnehmung der Benutzer war dies eine wichtige Änderung der Benutzeroberfläche. Studien haben gezeigt, dass Benutzer das Fehlen eines grünen Symbols mit einem Schloss nicht als Warnung als „geschützt“ wahrnehmen . Das rote „nackte“ HTTP-Symbol ist jedoch bereits ein deutlicher Hinweis auf die Gefahr der Website.

Nach aktuellen Trends zu urteilen, ist es durchaus möglich, sich eine neue Funktion vorzustellenNur HTTPS wird in Zukunft zum Standard und standardmäßig aktiviert. Jetzt wird es mithilfe der internen Firefox-Einstellungen (about: config) über das Flag aktiviert dom.security.https_only_mode, wie im ersten Screenshot gezeigt.

Die Funktion ist der Funktionsweise der bekannten HTTPS Everywhere- Erweiterung der Electronic Frontier Foundation und des Tor-Projekts sehr ähnlich . Es sollte beachtet werden, dass vor anderthalb Jahren das Fusion-Projekt gestartet wurde, um Tor Browser und Firefox zusammenzuführen , um Tor Browser-Funktionen direkt in Firefox zu integrieren.

Die Einführung von HTTPS Everywhere in der Firefox-Codebasis wurde als eines der Ziele des Fusion-Projekts angekündigt. Hier sind die ersten Ziele:

  • . , Firefox , . , . Tor Browser Firefox .
  • .
  • Tor Firefox. Tor ( ).
  • Firefox, , Tor. Tor Browser , Firefox:

    • ;
    • (circuit display);
    • HTTPS Everywhere, NoScript;
    • Tor Launcher;
    • ;
    • .

    Mozilla : , ( Tor).


    Onion — Tor Browser, Firefox

Zusätzlich zum Nur-HTTPS-Modus wollten große Browserhersteller im Frühjahr 2020 ältere Versionen der Verschlüsselungsprotokolle TLS 1.0 und 1.1 deaktivieren. Mozilla deaktivierte sie zunächst, erholte sich jedoch bald aufgrund der Coronavirus-Pandemie. Laut offizieller Position wurden die alten Versionen für den Zugriff auf Regierungsseiten gespeichert.

Google plante, ältere Versionen von TLS in Chrome 81 gleichzeitig mit Mozilla zu deaktivieren. Die Veröffentlichung dieser Version des Browsers wurde jedoch aufgrund eines Virus ausgesetzt. Dementsprechend akzeptierte Chrome weiterhin TLS 1.0- und 1.1-Verbindungen. Dies könnte ein weiterer Grund für Mozillas Entscheidung sein.


Der weltweite Marktanteil von Browsern von Januar 2012 bis Dezember 2019. Quelle: Statista

Wie nützlich ist nur HTTPS? Möglicherweise kann es für Profile aktiviert werden, die ausschließlich für Online-Banking oder andere wichtige Aufgaben im Internet verwendet werden.

Viele Benutzer empfinden HTTPS nur als destruktiv, da es den Zugriff auf bestimmte Websites und Ressourcen im Internet blockiert. Es gibt keine Problemumgehung. Sites können nur geladen werden, wenn Sie die entsprechende Funktion in about: config deaktivieren .


More articles:


All Articles