7 Reaktionen

Firefox 76 bekommt HTTPS-only-Modus

Geschätzte Lesedauer:

Mozilla hat einen optionalen Modus in Firefox 76 implementiert, in welchem Firefox ausschließlich verschlüsselte Verbindungen akzeptiert und versucht, unverschlüsselte Verbindungen automatisch upzugraden.

Mehr als 82 Prozent aller Verbindungen von Firefox-Nutzern weltweit finden bereits verschlüsselt statt. Vereinfacht gesagt bedeutet dies, dass die Verbindungen über https:// und nicht über http:// erfolgen. In den USA liegt dieser Wert sogar bereits bei über 91 Prozent.

Nutzer, welche im wahrsten Sinne des Wortes auf Nummer sicher gehen wollen, können ab Firefox 76 über die Konfigurationsoberfläche about:config den Schalter dom.security.https_only_mode auf true setzen.

Wird nach Aktivierung dieses Modus eine URL ohne Protokoll in die Adressleiste eingegeben, ergänzt Firefox https:// anstelle von http://. Wird eine URL eingegeben, welche mit http:// beginnt, ändert Firefox das Protokoll automatisch in https://. Auch sämtliche über http:// eingebundene Sub-Ressourcen versucht Firefox automatisch über HTTPS zu laden.

Auf diese Weise können Seiten über HTTPS erreicht werden, welche vom Benutzer ursprünglich unverschlüsselt aufgerufen werden, aber grundsätzlich auch über eine verschlüsselte Verbindung ausgeliefert und nicht automatisch weitergeleitet werden. Oftmals sind aber auch auf Seiten, welche über https:// geladen werden, einzelne Ressourcen wie ein Drittanbieter-Widget nur unverschlüsselt eingebunden, obwohl diese auch über HTTPS verfügbar wären. Auch das wird in diesem Modus automatisch korrigiert.

Natürlich funktioniert ein Upgrade von unverschlüsseltem HTTP auf HTTPS nur, wenn der Server die jeweilige Ressource auch über HTTPS bereitstellt. Ein Fallback zurück auf unverschlüsseltes HTTP, falls eine Ressource über HTTPS nicht geladen werden kann, gibt es in diesem Modus ganz bewusst nicht. Der Name der Einstellung ist hier also Programm und es gilt: nur noch HTTPS.

Firefox 76 erscheint nach aktueller Planung am 5. Mai 2020. Die Neuerung ist bereits Teil der aktuellen Nightly-Version von Firefox.

Dieser Artikel wurde von Sören Hentzschel verfasst.

Sören Hentzschel ist Webentwickler aus Salzburg. Auf soeren-hentzschel.at informiert er umfassend über Neuigkeiten zu Mozilla. Außerdem ist er Betreiber von camp-firefox.de, der ersten Anlaufstelle im deutschsprachigen Raum für Firefox-Probleme aller Art. Weitere Projekte sind firefox.agenedia.com, mozilla.de, firefoxosdevices.org sowie sozone.de.

7 Kommentare - bis jetzt!

Eigenen Kommentar verfassen
  1. Bill
    schrieb am :

    Hm, das ist aber unschön wenn der Server embedded läuft, wie zB nem Drucker oder sowas. Da kann man ja nicht gleich den ganzen stack mit Zertifikatsupdates usw. machen. Wird es denn einen Fork geben? Wäre ja mal ganz gut, die meisten neuen "Features" werden ja gegen die Benutzer erzwungen.

  2. Sören Hentzschel Verfasser des Artikels
    schrieb am :

    Wozu ein Fork? Wie kommst du darauf, dass irgendetwas "erzwungen" würde? ? Das ist ein optionales Feature, welches vom Nutzer bewusst aktiviert werden muss, wenn er das haben möchte. Steht ja auch im Artikel, dass das Feature optional ist.

    Irgendwann wird sicher der Punkt kommen, an dem es überhaupt keine unverschlüsselte Verbindungen mehr geben wird, und ich würde das auch am liebsten heute statt morgen sehen. Aber realistisch betrachtet sind wir von diesem Punkt noch mehrere Jahre entfernt. Daran ändert auch die Implementierung dieses optionalen Features überhaupt nichts.

  3. Heiko
    schrieb am :

    Ich habe ebenfalls dieses für mich sehr wertvolle Feature aktiviert.
    Interessante Beobachtung:
    Sobald unter about:config dom.security.https_only_mode auf „true“ gesetzt wird, ändert sich ebenfalls automatisch und zeitgleich die Einstellung: dom.security.https_only_mode_ever_enabled auf „true“. Ob letztere Einstellung erst Einzug mit FF77 erhalten hat, habe ich nicht geprüft… Wollte es nur mal kurz erwähnt haben. 🙂

  4. schrieb am :

    weiß jemand wie die konsole diese meldung loggen kann obwohl https only aktiv  ist und keine ausnahmen beschrieben sind?

    HTTPS-Only Mode: Not upgrading insecure request “http://ocsp2.globalsign.com/gsalphasha2g2” because it is exempt.

  5. Sören Hentzschel Verfasser des Artikels
    schrieb am :

    Ich könnte mir vorstelen, dass OCSP-Prüfungen automatisch ausgenommen sind. Aber ohne mehr Informationen lässt sich das schwer sagen. Idealerweise eröffnst du für Fragen ein Thema im Firefox-Forum:

    https://www.camp-firefox.de/forum/

  6. bedankender
    schrieb am :

    Danke für den Hinweis.

    Ich bin darauf gestoßen, dass diese Ausnahmen irgendwo im nicht sichtbaren geschrieben sein müssen…was ich nicht gut finde. Denn wenn man die Prüfung ausschaltet, wird auch keine Ausnahme mehr geloggt.

     

     

  7. Sören Hentzschel Verfasser des Artikels
    schrieb am :

    Nicht gut, weil aus Prinzip? Denn die Sicherheit muss gewährleistet bleiben. Wieso nutzt man denn einen Nur-HTTPS-Modus? Doch auch wegen der Sicherheit. Das sollte also im Sinne der Nutzer dieser Funktion sein. Denn wenn die Zertifikatsprüfung fehlschlägt, weil eine AV-Software oder Schadsoftware als MITM die HTTPS-Verbindung stört (und das passiert andauernd und ist nicht nur Theorie), würde die OCSP-Prüfung fehlschagen, was wiederum die Sicherheit beeinträchtigen könnte. Genauso müssen Verbindungen zum Update-Server von Firefox auch immer funktionieren.

Und jetzt du! Deine Meinung?

Erforderliche Felder sind mit einem Asterisk (*) gekennzeichnet. Die E-Mail-Adresse wird nicht veröffentlicht.
  1. Nach Absenden des Kommentar-Formulars erfolgt eine Verarbeitung der von Ihnen eingegebenen personenbezogenen Daten durch den datenschutzrechtlich Verantwortlichen zum Zweck der Bearbeitung Ihrer Anfrage auf Grundlage Ihrer durch das Absenden des Formulars erteilten Einwilligung.
    Weitere Informationen