Firefox внедряет режим «только HTTPS»

Моя цель - предложение широкого ассортимента товаров и услуг на постоянно высоком качестве обслуживания по самым выгодным ценам.



В тестовом билде Firefox Nightly реализован интересный режим. Возможно, когда-нибудь его включат по умолчанию, но сейчас он выглядит слегка необычно и его нужно вручную активировать из настроек.

Это режим HTTPS-only, в котором вы не можете загрузить сайты по незащищённому каналу. Если ввести адрес http://, то браузер пытается переадресовать запрос на https://, а в случае неудачи — блокирует загрузку. Все соединения должны быть зашифрованы в обязательном порядке.

Если не случится ничего экстраординарного, то функция перейдёт в финальный релиз Firefox 76, который планируется к выходу 5 мая 2020 года.

Это необязательная функция, которая активируется из настроек. Она ещё сильнее затруднит доступ к немногочисленным оставшимся сайтам, которые до сих пор не поддерживают шифрование TLS.

Согласно телеметрии Firefox, в настоящее время 82,4% веб-страниц в мире загружается через зашифрованное соединение, а в США — 91%.


Доля веб-страниц, которые загружаются по HTTPS в Firefox, 14-месячное скользящее среднее. Источник: телеметрия Firefox

В 2013 году по инициативе Mozilla создана организация Internet Security Research Group, которая в 2015 году запустила сервис Lets's Encrypt по автоматической выдаче бесплатных сертификатов для TLS-шифрования. Google стал платиновым спонсором сервиса. Недавно этот центр выдал миллиардный сертификат.


Количество активных сертификатов Let's Encrypt. Источник: Let's Encrypt

В наше время HTTPS практически обязателен для каждого веб-сайта. Отсутствие HTTPS влияет на позиции в поисковой выдаче и оказывает серьёзное влияние на приватность в целом.

Chrome и Firefox уже помечают как небезопасные веб-сайты без HTTPS. С точки зрения восприятия пользователями это было важное изменение интерфейса. Исследования показали, что пользователи не воспринимают в качестве предупреждения отсутствие зелёной иконки с замочком «Защищено». А вот красный значок «голого» HTTP — это уже явное указание на опасность сайта.

Судя по нынешним тенденциям, вполне можно представить, что новая функция HTTPS-only в будущем станет стандартной и будет включена по умолчанию. Сейчас она активируется с помощью внутренних настроек Firefox (about:config) через флаг dom.security.https_only_mode, как показано на первом скриншоте.

Функция очень похожа на то, как работает известное расширение HTTPS Everywhere от Фонда электронных рубежей и проекта Tor. Нужно заметить, что ещё полтора года назад был запущен проект Fusion по слиянию Tor Browser и Firefox, точнее, по интеграции функций Tor Browser непосредственно в Firefox.

Внедрение HTTPS Everywhere в кодовую базу Firefox заявлялось как одна из целей проекта Fusion. Вот изначальные цели:

  • Дальнейшее противодействие фингерпринтингу. Защита от фингерпринтинга по шрифтам успешно работает, но в Firefox отключена по умолчанию, потому что ломает некоторые сайты. Разработчики ставят задачу сделать защиту более дружественной к пользователю, улучшить совместимость с сайтами и дальше отслеживать новые методы фингерпринтинга. Их будут блокировать в Tor Browser и Firefox одновременно.
  • Реализация фреймворка для обхода прокси.
  • Изучение наиболее оптимальных способов интеграции прокси Tor в Firefox. Клиент Tor можно реализовать в виде отдельного процесса или библиотеки (сейчас этот вопрос обсуждается).
  • Действительно приватный режим сёрфинга в Firefox, в котором будут включаться функции изоляции элементов, противодействия фингерпринтингу и прокси Tor. На тот момент в Tor Browser были многочисленные функции, отсутствующие в приватном режиме Firefox:

    • ползунок безопасности;
    • дисплей маршрутизации пакетов (circuit display);
    • HTTPS Everywhere, NoScript;
    • Tor Launcher;
    • подключаемые транспортные протоколы;
    • разнообразные другие улучшения.

    Mozilla до сих пор не определилась: возможно, после слияния функций есть смысл сделать два режима приватного серфинга (один из них с Tor).


    Непосредственная интеграция с сетью луковой маршрутизации Onion — одна из функций Tor Browser, которой не хватает в приватном режиме Firefox

В дополнение к режиму HTTPS-only, основные производители браузеров собирались деактивировать устаревшие версии протоколов шифрования TLS 1.0 и 1.1 весной 2020 года. Mozilla сначала деактивировала их, но вскоре восстановила из-за пандемии коронавируса. Согласно официальной позиции, старые версии сохранили для доступа к государственным сайтам.

Google планировал отключить устаревшие версии TLS в Chrome 81, одновременно с Mozilla. Но выпуск этой версии браузера был приостановлен из-за вируса. Соответственно, Chrome продолжил принимать соединения TLS 1.0 и 1.1. Это могло стать ещё одной причиной решения Mozilla.


Глобальная рыночная доля браузеров с января 2012 по декабрь 2019 года. Источник: Statista

Насколько полезен режим HTTPS-only? Возможно, его можно включить на профилях, которые используются исключительно для онлайн-банкинга или других важных задач в интернете.

Многие пользователи могут посчитать режим HTTPS-only деструктивным, поскольку он блокирует доступ к определённым сайтам и ресурсам в интернете. Обходного пути нет. Сайты невозможно будет загрузить, если не отключить соответствующую функцию в about:config.



Источник: https://habr.com/ru/company/globalsign/blog/494024/#habracut

Интересные статьи

Интересные статьи

Отношение к удалённой работе в IT никогда не было однозначным, хотя в целом всегда оказывалось демократичнее, чем в других отраслях. Пока одни компании ультимативно заявляли о том, что «только оф...
VUE.JS - это javascript фрэймворк, с версии 18.5 его добавили в ядро битрикса, поэтому можно его использовать из коробки.
На сегодняшний день множество IT-компаний сталкиваются с проблемой поиска сотрудников в своем регионе. Все больше предложений на рынке труда связаны с возможностью работы вне офиса – удаленно. ...
Хранилище сертификатов Firefox С выходом Mozilla Firefox 65 в феврале 2019 года при подключении к сайтам HTTPS некоторые пользователи стали замечать ошибки типа “Your Connection is not secu...
Один из самых острых вопросов при разработке на Битрикс - это миграции базы данных. Какие же способы облегчить эту задачу есть на данный момент?