Get best of the week

Firefox presenta solo HTTPS



Se implementa un modo interesante en la versión de prueba de Firefox Nightly. Tal vez algún día se activará de forma predeterminada, pero ahora parece un poco inusual y debe activarse manualmente desde la configuración.

Este es el modo solo HTTPS en el que no puede descargar sitios a través de un canal inseguro. Si ingresa la dirección http://, el navegador intenta redirigir la solicitud y https://, en caso de falla, bloquea la descarga. Todas las conexiones deben estar encriptadas sin falta.

Si no sucede nada extraordinario, la función irá a la versión final de Firefox 76, que se lanzará el 5 de mayo de 2020 .

Esta es una función opcional que se activa desde la configuración. Esto complicará aún más el acceso a los pocos sitios restantes que aún no admiten el cifrado TLS.

Según la telemetría de Firefox , actualmente el 82.4% de las páginas web del mundo se descargan a través de una conexión encriptada, y en los EE. UU. El 91%.


La proporción de páginas web que se cargan a través de HTTPS en Firefox es un promedio móvil de 14 meses. Fuente: telemetría de Firefox

En 2013, Mozilla inició la creación del Grupo de Investigación de Seguridad de Internet, que lanzó el servicio Lets's Encrypt en 2015 para emitir automáticamente certificados gratuitos para el cifrado TLS. Google se ha convertido en un patrocinador platino del servicio. Recientemente este centroemitió un billonésimo certificado .


El número de certificados activos de Let's Encrypt. Fuente: Let's Encrypt

Hoy en día, HTTPS es casi imprescindible para todos los sitios web. La ausencia de HTTPS afecta la posición en los resultados de búsqueda y tiene un grave impacto en la privacidad en general.

Chrome y Firefox ya están marcados como sitios web inseguros sin HTTPS. En términos de percepción del usuario, este fue un cambio importante en la interfaz. Los estudios han demostrado que los usuarios no perciben la ausencia de un icono verde con un candado como "Protegido" como advertencia . Pero el ícono rojo HTTP "desnudo" ya es una clara indicación del peligro del sitio.

A juzgar por las tendencias actuales, es bastante posible imaginar que una nueva funciónSolo HTTPS se convertirá en estándar en el futuro y se habilitará de manera predeterminada. Ahora se activa usando la configuración interna de Firefox (about: config) a través de la bandera dom.security.https_only_mode, como se muestra en la primera captura de pantalla.

La característica es muy similar a cómo funciona la conocida extensión HTTPS Everywhere de Electronic Frontier Foundation y el proyecto Tor . Cabe señalar que hace un año y medio se lanzó el proyecto Fusion para fusionar el navegador Tor y Firefox , más precisamente, para integrar las funciones del navegador Tor directamente en Firefox.

La introducción de HTTPS Everywhere en la base de código de Firefox se ha anunciado como uno de los objetivos del proyecto Fusion. Aquí están los objetivos iniciales:

  • . , Firefox , . , . Tor Browser Firefox .
  • .
  • Tor Firefox. Tor ( ).
  • Firefox, , Tor. Tor Browser , Firefox:

    • ;
    • (circuit display);
    • HTTPS Everywhere, NoScript;
    • Tor Launcher;
    • ;
    • .

    Mozilla : , ( Tor).


    Onion — Tor Browser, Firefox

Además del modo solo HTTPS, los principales fabricantes de navegadores estaban a punto de desactivar versiones heredadas de los protocolos de cifrado TLS 1.0 y 1.1 en la primavera de 2020. Mozilla los desactivó inicialmente, pero pronto se recuperó debido a la pandemia de coronavirus. Según la posición oficial, las versiones antiguas se guardaron para acceder a sitios gubernamentales.

Google planeó deshabilitar las versiones heredadas de TLS en Chrome 81, simultáneamente con Mozilla. Pero el lanzamiento de esta versión del navegador se suspendió debido a un virus. En consecuencia, Chrome continuó aceptando conexiones TLS 1.0 y 1.1. Esta podría ser otra razón para la decisión de Mozilla.


La cuota de mercado global de los navegadores desde enero de 2012 hasta diciembre de 2019. Fuente: Statista

¿Qué tan útil es solo HTTPS? Quizás se pueda habilitar en perfiles que se utilizan exclusivamente para la banca en línea u otras tareas importantes en Internet.

Muchos usuarios pueden encontrar solo HTTPS destructivo, ya que bloquea el acceso a ciertos sitios y recursos en Internet. No hay solución alternativa. Los sitios no se pueden cargar a menos que desactive la función correspondiente en about: config .


More articles:


All Articles