Firefox внедряет режим «только HTTPS»

от автора

В тестовом билде Firefox Nightly реализован интересный режим. Возможно, когда-нибудь его включат по умолчанию, но сейчас он выглядит слегка необычно и его нужно вручную активировать из настроек.

Это режим HTTPS-only, в котором вы не можете загрузить сайты по незащищённому каналу. Если ввести адрес http://, то браузер пытается переадресовать запрос на https://, а в случае неудачи — блокирует загрузку. Все соединения должны быть зашифрованы в обязательном порядке.

Если не случится ничего экстраординарного, то функция перейдёт в финальный релиз Firefox 76, который планируется к выходу 5 мая 2020 года.

Это необязательная функция, которая активируется из настроек. Она ещё сильнее затруднит доступ к немногочисленным оставшимся сайтам, которые до сих пор не поддерживают шифрование TLS.

Согласно телеметрии Firefox, в настоящее время 82,4% веб-страниц в мире загружается через зашифрованное соединение, а в США — 91%.


Доля веб-страниц, которые загружаются по HTTPS в Firefox, 14-месячное скользящее среднее. Источник: телеметрия Firefox

В 2013 году по инициативе Mozilla создана организация Internet Security Research Group, которая в 2015 году запустила сервис Lets’s Encrypt по автоматической выдаче бесплатных сертификатов для TLS-шифрования. Google стал платиновым спонсором сервиса. Недавно этот центр выдал миллиардный сертификат.


Количество активных сертификатов Let’s Encrypt. Источник: Let’s Encrypt

В наше время HTTPS практически обязателен для каждого веб-сайта. Отсутствие HTTPS влияет на позиции в поисковой выдаче и оказывает серьёзное влияние на приватность в целом.

Chrome и Firefox уже помечают как небезопасные веб-сайты без HTTPS. С точки зрения восприятия пользователями это было важное изменение интерфейса. Исследования показали, что пользователи не воспринимают в качестве предупреждения отсутствие зелёной иконки с замочком «Защищено». А вот красный значок «голого» HTTP — это уже явное указание на опасность сайта.

Судя по нынешним тенденциям, вполне можно представить, что новая функция HTTPS-only в будущем станет стандартной и будет включена по умолчанию. Сейчас она активируется с помощью внутренних настроек Firefox (about:config) через флаг dom.security.https_only_mode, как показано на первом скриншоте.

Функция очень похожа на то, как работает известное расширение HTTPS Everywhere от Фонда электронных рубежей и проекта Tor. Нужно заметить, что ещё полтора года назад был запущен проект Fusion по слиянию Tor Browser и Firefox, точнее, по интеграции функций Tor Browser непосредственно в Firefox.

Внедрение HTTPS Everywhere в кодовую базу Firefox заявлялось как одна из целей проекта Fusion. Вот изначальные цели:

  • Дальнейшее противодействие фингерпринтингу. Защита от фингерпринтинга по шрифтам успешно работает, но в Firefox отключена по умолчанию, потому что ломает некоторые сайты. Разработчики ставят задачу сделать защиту более дружественной к пользователю, улучшить совместимость с сайтами и дальше отслеживать новые методы фингерпринтинга. Их будут блокировать в Tor Browser и Firefox одновременно.
  • Реализация фреймворка для обхода прокси.
  • Изучение наиболее оптимальных способов интеграции прокси Tor в Firefox. Клиент Tor можно реализовать в виде отдельного процесса или библиотеки (сейчас этот вопрос обсуждается).
  • Действительно приватный режим сёрфинга в Firefox, в котором будут включаться функции изоляции элементов, противодействия фингерпринтингу и прокси Tor. На тот момент в Tor Browser были многочисленные функции, отсутствующие в приватном режиме Firefox:
    • ползунок безопасности;
    • дисплей маршрутизации пакетов (circuit display);
    • HTTPS Everywhere, NoScript;
    • Tor Launcher;
    • подключаемые транспортные протоколы;
    • разнообразные другие улучшения.

    Mozilla до сих пор не определилась: возможно, после слияния функций есть смысл сделать два режима приватного серфинга (один из них с Tor).


    Непосредственная интеграция с сетью луковой маршрутизации Onion — одна из функций Tor Browser, которой не хватает в приватном режиме Firefox

В дополнение к режиму HTTPS-only, основные производители браузеров собирались деактивировать устаревшие версии протоколов шифрования TLS 1.0 и 1.1 весной 2020 года. Mozilla сначала деактивировала их, но вскоре восстановила из-за пандемии коронавируса. Согласно официальной позиции, старые версии сохранили для доступа к государственным сайтам.

Google планировал отключить устаревшие версии TLS в Chrome 81, одновременно с Mozilla. Но выпуск этой версии браузера был приостановлен из-за вируса. Соответственно, Chrome продолжил принимать соединения TLS 1.0 и 1.1. Это могло стать ещё одной причиной решения Mozilla.


Глобальная рыночная доля браузеров с января 2012 по декабрь 2019 года. Источник: Statista

Насколько полезен режим HTTPS-only? Возможно, его можно включить на профилях, которые используются исключительно для онлайн-банкинга или других важных задач в интернете.

Многие пользователи могут посчитать режим HTTPS-only деструктивным, поскольку он блокирует доступ к определённым сайтам и ресурсам в интернете. Обходного пути нет. Сайты невозможно будет загрузить, если не отключить соответствующую функцию в about:config.


ссылка на оригинал статьи https://habr.com/ru/company/globalsign/blog/494024/


Комментарии

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *