Firefox 76 bekommt HTTPS-only-Modus
Mozilla hat einen optionalen Modus in Firefox 76 implementiert, in welchem Firefox ausschließlich verschlüsselte Verbindungen akzeptiert und versucht, unverschlüsselte Verbindungen automatisch upzugraden.
Mehr als 82 Prozent aller Verbindungen von Firefox-Nutzern weltweit finden bereits verschlüsselt statt. Vereinfacht gesagt bedeutet dies, dass die Verbindungen über https:// und nicht über http:// erfolgen. In den USA liegt dieser Wert sogar bereits bei über 91 Prozent.
Nutzer, welche im wahrsten Sinne des Wortes auf Nummer sicher gehen wollen, können ab Firefox 76 über die Konfigurationsoberfläche about:config den Schalter dom.security.https_only_mode auf true setzen.
Wird nach Aktivierung dieses Modus eine URL ohne Protokoll in die Adressleiste eingegeben, ergänzt Firefox https:// anstelle von http://. Wird eine URL eingegeben, welche mit http:// beginnt, ändert Firefox das Protokoll automatisch in https://. Auch sämtliche über http:// eingebundene Sub-Ressourcen versucht Firefox automatisch über HTTPS zu laden.
Auf diese Weise können Seiten über HTTPS erreicht werden, welche vom Benutzer ursprünglich unverschlüsselt aufgerufen werden, aber grundsätzlich auch über eine verschlüsselte Verbindung ausgeliefert und nicht automatisch weitergeleitet werden. Oftmals sind aber auch auf Seiten, welche über https:// geladen werden, einzelne Ressourcen wie ein Drittanbieter-Widget nur unverschlüsselt eingebunden, obwohl diese auch über HTTPS verfügbar wären. Auch das wird in diesem Modus automatisch korrigiert.
Natürlich funktioniert ein Upgrade von unverschlüsseltem HTTP auf HTTPS nur, wenn der Server die jeweilige Ressource auch über HTTPS bereitstellt. Ein Fallback zurück auf unverschlüsseltes HTTP, falls eine Ressource über HTTPS nicht geladen werden kann, gibt es in diesem Modus ganz bewusst nicht. Der Name der Einstellung ist hier also Programm und es gilt: nur noch HTTPS.
Firefox 76 erscheint nach aktueller Planung am 5. Mai 2020. Die Neuerung ist bereits Teil der aktuellen Nightly-Version von Firefox.
Weitere aktuelle Artikel aus der Kategorie „Firefox“
- 08.09.2024Firefox: Unterstützung für veraltete Betriebssysteme bis März 2025 verlängert
- 07.09.2024Firefox: Enterprise Policy Generator 6.1 veröffentlicht
- 03.09.2024Mozilla veröffentlicht Firefox 130
- 28.08.2024Firefox 131 erlaubt das Verlinken von Text-Ausschnitten einer Website
- 27.08.2024Vorschau auf die neuen Firefox-Einstellungen
Hm, das ist aber unschön wenn der Server embedded läuft, wie zB nem Drucker oder sowas. Da kann man ja nicht gleich den ganzen stack mit Zertifikatsupdates usw. machen. Wird es denn einen Fork geben? Wäre ja mal ganz gut, die meisten neuen "Features" werden ja gegen die Benutzer erzwungen.
Wozu ein Fork? Wie kommst du darauf, dass irgendetwas "erzwungen" würde? ? Das ist ein optionales Feature, welches vom Nutzer bewusst aktiviert werden muss, wenn er das haben möchte. Steht ja auch im Artikel, dass das Feature optional ist.
Irgendwann wird sicher der Punkt kommen, an dem es überhaupt keine unverschlüsselte Verbindungen mehr geben wird, und ich würde das auch am liebsten heute statt morgen sehen. Aber realistisch betrachtet sind wir von diesem Punkt noch mehrere Jahre entfernt. Daran ändert auch die Implementierung dieses optionalen Features überhaupt nichts.
Ich habe ebenfalls dieses für mich sehr wertvolle Feature aktiviert.
Interessante Beobachtung:
Sobald unter about:config dom.security.https_only_mode auf „true“ gesetzt wird, ändert sich ebenfalls automatisch und zeitgleich die Einstellung: dom.security.https_only_mode_ever_enabled auf „true“. Ob letztere Einstellung erst Einzug mit FF77 erhalten hat, habe ich nicht geprüft… Wollte es nur mal kurz erwähnt haben. 🙂
weiß jemand wie die konsole diese meldung loggen kann obwohl https only aktiv ist und keine ausnahmen beschrieben sind?
HTTPS-Only Mode: Not upgrading insecure request “http://ocsp2.globalsign.com/gsalphasha2g2” because it is exempt.
Ich könnte mir vorstelen, dass OCSP-Prüfungen automatisch ausgenommen sind. Aber ohne mehr Informationen lässt sich das schwer sagen. Idealerweise eröffnst du für Fragen ein Thema im Firefox-Forum:
https://www.camp-firefox.de/forum/
Danke für den Hinweis.
Ich bin darauf gestoßen, dass diese Ausnahmen irgendwo im nicht sichtbaren geschrieben sein müssen…was ich nicht gut finde. Denn wenn man die Prüfung ausschaltet, wird auch keine Ausnahme mehr geloggt.
Nicht gut, weil aus Prinzip? Denn die Sicherheit muss gewährleistet bleiben. Wieso nutzt man denn einen Nur-HTTPS-Modus? Doch auch wegen der Sicherheit. Das sollte also im Sinne der Nutzer dieser Funktion sein. Denn wenn die Zertifikatsprüfung fehlschlägt, weil eine AV-Software oder Schadsoftware als MITM die HTTPS-Verbindung stört (und das passiert andauernd und ist nicht nur Theorie), würde die OCSP-Prüfung fehlschagen, was wiederum die Sicherheit beeinträchtigen könnte. Genauso müssen Verbindungen zum Update-Server von Firefox auch immer funktionieren.