Mozilla will verschlüsseltes Web vorantreiben
Mozilla möchte dem unverschlüsselten Web ein Ende setzen und hat entsprechende – langfristige – Pläne angekündigt, neue Webfeatures nur Webseiten mit verschlüsselter Datenübertragung zugänglich zu machen, insbesondere wenn diese Features die Privatsphäre oder Sicherheit tangieren.
Im offiziellen Security Blog hat Mozilla in Person von Firefox Security Lead Richard Barnes angekündigt, die Verbreitung von HTTPS durch Maßnahmen aktiv voranzutreiben zu wollen. Konkret schwebt Mozilla ein Zwei-Phasen-Plan vor, der erstens daraus besteht, einen Zeitpunkt festzulegen, ab welchem neue Webfeatures nur für HTTPS nutzende Webseiten zur Verfügung stehen, und zweitens schrittweise den Zugriff auf bestimmte Browserfunktionen, welche für die Sicherheit oder Privatsphäre der Nutzer relevant sind, für nicht-sichere Webseiten nicht länger zu ermöglichen.
Natürlich sind diese Pläne als langfristige Pläne zu verstehen und nicht als etwas, was sich bereits in den nächsten Wochen bemerkbar machen wird. Mit der Ankündigung sendet Mozilla zumindest ein klares Signal an Webseitenbetreiber und gibt diesen durch die frühe Information Zeit, sich mit dem Thema HTTPS zu befassen. Wahrscheinlich wird es Jahre dauern, ehe bestimmte Dinge, welche heute für HTTP nutzende Webseiten funktionieren, nur noch für HTTPS nutzende Webseiten funktionieren werden. Vor allem geht es in der ersten Phase erst einmal darum, neue Funktionen einzuschränken. Auch ist überhaupt erst noch zu definieren, was neu in diesem Kontext überhaupt bedeutet. So dürfte das Einschränken neuer CSS-Features in der Regel wohl eher wenig Sinn ergeben, anders als die Einschränkung des Zugriffs auf die Hardware, ähnlich wie Webseiten heute bereits beispielsweise auf die Kamera zugreifen können.
Wenn es um die Einschränkung bereits bestehender Features geht, dann wird man vor allem neben dem Sicherheitsgewinn auf der einen Seite die Kompatibilität auf der anderen Seite sehen müssen, so dass sich ein konkreter Zeitplan noch nicht absehen lässt.
Neben dem kompletten Verbieten bestimmter Funktionen für HTTP-Webseiten sind auch kleinere Einschränkungen möglich und werden sogar bereits praktiziert: So erlaubt Firefox auch jetzt schon für nicht-sichere Webseiten keine dauerhafte Erlaubnis für Kamera und Mikrofon.
In einer FAQ-PDF beantwortet Mozilla einige Fragen zu diesem Thema.
Anmerkung: In diesem Artikel wurde der Einfachheit halber HTTPS teilweise stellvertretend für verschlüsselte Verbindungen verwendet. Genau genommen wird es durch HSTS und upgrade-insecure-requests auch bei Umsetzung der Pläne noch möglich sein, das HTTP-URI-Schema zu verwenden und damit Zugriff auf alle Funktionen zu erhalten. In den allermeisten Fällen dürften verschlüsselte Verbindungen allerdings HTTPS bedeuten.
Sören Hentzschel ist Webentwickler aus Salzburg. Auf soeren-hentzschel.at informiert er umfassend über Neuigkeiten zu Mozilla. Außerdem ist er Betreiber von camp-firefox.de, der ersten Anlaufstelle im deutschsprachigen Raum für Firefox-Probleme aller Art. Weitere Projekte sind firefox.agenedia.com, mozilla.de, firefoxosdevices.org sowie sozone.de.
Als erste Maßnahme könnte Firefox den Dialog für Zertifikatsfehler grundlegend überarbeiten.
Mit einem “Was ist das?“ Button, der Zertifikatsfehler in einfacher Sprache erklärt, und dabei vor allem zwischen Verschlüsselung (meistens unproblematisch) und Identifikation (Zert abgelaufen, bad name, selbst signiert) unterscheidet.
Es nervt mich seit langem, dass ich anderen Leuten keinen Link auf eine Seite mit selbst signiertem Zertifikat schicken kann, ohne längere Ausführungen dazu zu machen. Der Browser lässt sie allein.
M.
Ich glaube nicht, dass das wirklich der richtige Weg ist. Wenn Benutzer merken, dass sie beispielsweise eine schlechtere Performance auf einer Webseite haben, weil diese bestimmte Funktionen nicht mehr nutzen kann, so nutzt der Ottonormal-Benutzer einfach einen anderen Browser. Dem ist es egal, welchen Browser er nutzt, solange er funktioniert.
Hier demnach bestimmte Funktionen bestimmten Webseiten vorzuenthalten, wird wohl dem Firefox mehr schaden als den Webseiten-Betreibern.
@Michael:
Naja, aber mal ganz ehrlich, wer ein selbst signiertes Zertifikat einsetzt, der muss sich halt auch darum kümmern, dass die Anwender damit klar kommen. Das halte ich keinesfalls für einen Mainstream-Anwendungsfall, sondern viel mehr in einem Unternehmen oder so. Im Alltag sollte man meiner Meinung nach nicht auf selbst signierte Zertifikate stoßen. Die Userfreundlichkeit würde dann bereits beim Webseitenbetreiber liegen.
@KittMedia
Die Performance einer Seite wird durch HTTPS bei weitem nicht so stark beeinflusst wie oft vermutet wird.
Hier wurden ein paar Benchmarks gemacht die mal ein aktuelles Bild der Situation zeigen:
https://istlsfastyet.com/
@KittMedia:
Performance ist kein sehr gutes Argument (mehr) gegen HTTPS, erst Recht nicht seit HTTP/2.0. Wenn du deine Seite über HTTP/2.0 verschlüsselt betreibst, erwarte ich bei vernünftiger Konfiguration sogar eine bessere Performance als bei HTTP/1.x unverschlüsselt.
Zum einen geht es ja um einen langfristigen Plan und um nichts, was von heute auf morgen passieren wird. Wir sprechen eher von Jahren. Und dass die Tendenz zum verschlüsselten Web hingeht, ist eh klar. Mit Let’s Encrypt arbeitet auch Mozilla (mit anderen) an einer Lösung, um das alles noch einfacher zu machen. Zum anderen bin ich mir absolut sicher, dass ein solches Vorgehen mit den anderen Browserherstellern koordiniert wird. Insbesondere von Google erwarte ich Ähnliches.
Zunächst mal sollte ein Browser bei „ungültigem“ Zertifikat trotzdem ohne Warnseite funktionieren und nur in der Addresszeile entsprechend eine Markierung setzen (Schloss mit rotem Ausrufezeichen zum Beispiel).
Sonst müsste ein Browser auch bei jeder unverschlüsselten Website eine riesen Warnung bringen. Verschlüsselt aber selbst signiert oder „abgelaufen“ ist in jedem Fall um einiges sicherer als unverschlüsselt. Denn: JEDER Angriff (Manipulation durch Man in the Middle, Abhören, etc.) ist bei unverschlüsselten Websites immer und ohne Schwierigkeiten VON JEDEM möglich. Bei HTTPS jedoch NUR von der Person, die das falsche Zertifikat hat UND NUR wenn es gleichzeitig tatsächlich überhaupt ein falsches Zertifikat ist.
Ich verstehe daher nicht, warum selbst signierte Zertifikate abgestraft werden, gänzlich unverschlüsselt aber ohne Murren akzeptiert wird.
Ich könnte gar nicht mehr widerprechen, was diesen Punkt betrifft.
Nö, wieso? Es ist ja wohl ein Unterschied, ob eine Seite von vornherein unverschlüsselt ist (also kein Problem, alles in Ordnung mit der Seite!) oder ob die Seite in ungültiges Zertifikat einsetzt (ganz klar nicht in Ordnung). Insofern sehe ich den Zusammenhang zwischen beiden Dingen nicht, das sind vollkommen unterschiedliche Situationen.
Selbst signierte Zertfikate werden nicht „abgestraft“, keine Ahnung, was du damit meinst. Dass das für den Nutzer nicht so komfortabel ist, versteht sich ja von selbst, das ist halt der Preis der Selbstsignierung. Auch verstehe ich nicht, wieso du nicht verstehst, dass gänzlich unverschlüsselte Seiten akzeptiert werden. Mozilla will das ja auch einschränken, aber das ist ein langfristiger Plan, worauf erst einmal hingearbeitet werden muss. Sowas kann man nicht von heute auf morgen ändern.