Более десяти лет назад Фонд электронных рубежей (EFF) выпустил расширение HTTPS Everywhere. Его функциональность была простой, но полезной: если ввести адрес http://, то расширение автоматически заменяло его на https:// в случае наличия защищённой версии сайта. Такой режим принудительной переадресации гарантировал шифрование канала, когда возможно.

Но сейчас эту функциональность внедрили все популярные браузеры, поэтому необходимость в специальном расширении отпала.

HTTPS теперь повсюду. Что раньше считалось спорным техническим вопросом, сегодня стало общепризнанным стандартом: протокол шифрования TLS используется на большинстве сайтов в интернете, констатирует EFF.

HTTPS победил благодаря деятельности таких организаций, как Let’s Encrypt — бесплатного центра сертификации, который раздаёт короткоживущие сертификаты всем желающим. Фонд электронных рубежей гордится собственной разработкой — бот Certbot принят в качестве дефолтного инструмента Let’s Encrypt.

Расширение HTTPS Everywhere изначально создавалось с конечной целью — стать ненужным. Это означало бы успешное завершение миссии, то есть настолько широкое распространение HTTPS, что незащищённые сайты останутся в абсолютном меньшинстве. Весь интернет будет зашифрован и защищён. Сегодня мы как никогда близки к этому, потому что все основные браузеры внедрили режим «только HTTPS» (HTTPS-only). Он означает, что соединение должно быть зашифровано в обязательном порядке, иначе загрузка просто блокируется.

По этой причине EFF готовится закрыть расширение HTTPS Everywhere, то есть прекратить его распространение. По окончании этого года расширение будет переведено в «режим поддержки» сроком на год, а потом закрыто.

Расширение установлено у большого количества пользователей. EFF хочет дать им время для миграции. На протяжении 2022 года их будут информировать о наличии аналогичной функции во всех основных браузерах.

В некоторых браузерах, ориентированных на безопасность, как Brave, редиректы на HTTPS поддерживаются уже много лет. Остальные реализовали их недавно. Ниже показано, как эта функция включается в самых популярных браузерах.

Firefox

В мобильной версии эта функция пока доступна только в режиме разработчика по about:config. А в десктопной версии включается следующим образом: Настройки — Приватность и Защита — прокрутить вниз — включить режим HTTPS-Only.

Chrome

HTTPS-only реализован в версии Chrome 94 (мобильная и десктопная), которая вышла 21 сентября 2021 года: Настройки — Конфиденциальность и безопасность — Безопасность — прокрутить вниз — включить «Всегда использовать безопасные соединения». Функция также доступна под флагом chrome://flags/#https-only-mode-setting.

Edge

Здесь HTTPS-only ещё считается «экспериментальной функцией», но доступна с Edge 92 через флаг edge://flags/#edge-automatic-https (там включить опцию Automatic HTTPS).

Или можно зайти через настройки edge://settings/privacy, прокрутить вниз и найти опцию «Автоматически переключаться на более безопасные соединения с Automatic HTTPS».

Safari

Месяц назад вышла версия Safari 15, где эта функция включена по умолчанию (HTTPS Upgrade). От пользователя не требуется никаких действий.