Get best of the week

Firefox présente HTTPS uniquement



Un mode intéressant est implémenté dans la version de test de Firefox Nightly. Peut-être qu'un jour, il sera activé par défaut, mais maintenant il semble un peu inhabituel et doit être activé manuellement à partir des paramètres.

Il s'agit du mode HTTPS uniquement dans lequel vous ne pouvez pas télécharger de sites via un canal non sécurisé. Si vous entrez l'adresse http://, le navigateur essaie de rediriger la demande vers https://, et en cas d'échec, bloque le téléchargement. Toutes les connexions doivent être cryptées sans échec.

Si rien d'extraordinaire ne se produit, la fonction ira à la version finale de Firefox 76, dont la sortie est prévue pour le 5 mai 2020 .

Il s'agit d'une fonction facultative qui est activée à partir des paramètres. Cela compliquera encore l'accès aux quelques sites restants qui ne prennent toujours pas en charge le cryptage TLS.

Selon la télémétrie Firefox , actuellement 82,4% des pages Web dans le monde sont téléchargées via une connexion cryptée, et aux États-Unis - 91%.


La part des pages Web qui se chargent via HTTPS dans Firefox est une moyenne mobile de 14 mois. Source: Télémétrie Firefox

En 2013, Mozilla a lancé la création d'Internet Security Research Group, qui a lancé le service Lets's Encrypt en 2015 pour émettre automatiquement des certificats gratuits pour le cryptage TLS. Google est devenu un sponsor platine du service. Récemment ce centrea délivré un milliardième certificat .


Nombre de certificats Let's Encrypt actifs. Source: Let's Encrypt

De nos jours, HTTPS est presque un must pour chaque site Web. L'absence de HTTPS affecte la position dans les résultats de recherche et a un impact sérieux sur la confidentialité en général.

Chrome et Firefox sont déjà signalés comme des sites Web non sécurisés sans HTTPS. En termes de perception des utilisateurs, il s'agissait d'un changement d'interface important. Des études ont montré que les utilisateurs ne perçoivent pas l' absence d' icône verte avec un verrou comme «Protégé» comme un avertissement . Mais l'icône HTTP «nue» rouge est déjà une indication claire du danger du site.

A en juger par les tendances actuelles, il est tout à fait possible d'imaginer qu'une nouvelle fonctionHTTPS uniquement deviendra standard à l'avenir et sera activé par défaut. Maintenant, il est activé à l'aide des paramètres internes de Firefox (about: config) via le drapeau dom.security.https_only_mode, comme indiqué dans la première capture d'écran.

La fonctionnalité est très similaire au fonctionnement de l'extension HTTPS Everywhere bien connue de l'Electronic Frontier Foundation et du projet Tor . Il convient de noter qu'il y a un an et demi, le projet Fusion a été lancé pour fusionner Tor Browser et Firefox , plus précisément, pour intégrer les fonctions de Tor Browser directement dans Firefox.

L'introduction de HTTPS Everywhere dans la base de code de Firefox a été annoncée comme l'un des objectifs du projet Fusion. Voici les objectifs initiaux:

  • . , Firefox , . , . Tor Browser Firefox .
  • .
  • Tor Firefox. Tor ( ).
  • Firefox, , Tor. Tor Browser , Firefox:

    • ;
    • (circuit display);
    • HTTPS Everywhere, NoScript;
    • Tor Launcher;
    • ;
    • .

    Mozilla : , ( Tor).


    Onion — Tor Browser, Firefox

En plus du mode HTTPS uniquement, les principaux fabricants de navigateurs étaient sur le point de désactiver les versions héritées des protocoles de cryptage TLS 1.0 et 1.1 au printemps 2020. Mozilla les a initialement désactivés, mais s'est rapidement rétabli en raison de la pandémie de coronavirus. Selon la position officielle, les anciennes versions ont été enregistrées pour l'accès aux sites gouvernementaux.

Google prévoyait de désactiver les anciennes versions de TLS dans Chrome 81, simultanément avec Mozilla. Mais la sortie de cette version du navigateur a été suspendue en raison d'un virus. Par conséquent, Chrome a continué d'accepter les connexions TLS 1.0 et 1.1. Cela pourrait être une autre raison de la décision de Mozilla.


La part de marché mondiale des navigateurs de janvier 2012 à décembre 2019. Source: Statista

Quelle est l'utilité du HTTPS uniquement? Peut-être qu'il peut être activé sur des profils qui sont utilisés exclusivement pour les opérations bancaires en ligne ou d'autres tâches importantes sur Internet.

De nombreux utilisateurs peuvent trouver HTTPS uniquement destructeur, car il bloque l'accès à certains sites et ressources sur Internet. Il n'y a aucune solution de contournement. Les sites ne peuvent être chargés que si vous désactivez la fonction correspondante dans about: config .


More articles:


All Articles