Firefox внедряет режим «только HTTPS»



    В тестовом билде Firefox Nightly реализован интересный режим. Возможно, когда-нибудь его включат по умолчанию, но сейчас он выглядит слегка необычно и его нужно вручную активировать из настроек.

    Это режим HTTPS-only, в котором вы не можете загрузить сайты по незащищённому каналу. Если ввести адрес http://, то браузер пытается переадресовать запрос на https://, а в случае неудачи — блокирует загрузку. Все соединения должны быть зашифрованы в обязательном порядке.

    Если не случится ничего экстраординарного, то функция перейдёт в финальный релиз Firefox 76, который планируется к выходу 5 мая 2020 года.

    Это необязательная функция, которая активируется из настроек. Она ещё сильнее затруднит доступ к немногочисленным оставшимся сайтам, которые до сих пор не поддерживают шифрование TLS.

    Согласно телеметрии Firefox, в настоящее время 82,4% веб-страниц в мире загружается через зашифрованное соединение, а в США — 91%.


    Доля веб-страниц, которые загружаются по HTTPS в Firefox, 14-месячное скользящее среднее. Источник: телеметрия Firefox

    В 2013 году по инициативе Mozilla создана организация Internet Security Research Group, которая в 2015 году запустила сервис Lets's Encrypt по автоматической выдаче бесплатных сертификатов для TLS-шифрования. Google стал платиновым спонсором сервиса. Недавно этот центр выдал миллиардный сертификат.


    Количество активных сертификатов Let's Encrypt. Источник: Let's Encrypt

    В наше время HTTPS практически обязателен для каждого веб-сайта. Отсутствие HTTPS влияет на позиции в поисковой выдаче и оказывает серьёзное влияние на приватность в целом.

    Chrome и Firefox уже помечают как небезопасные веб-сайты без HTTPS. С точки зрения восприятия пользователями это было важное изменение интерфейса. Исследования показали, что пользователи не воспринимают в качестве предупреждения отсутствие зелёной иконки с замочком «Защищено». А вот красный значок «голого» HTTP — это уже явное указание на опасность сайта.

    Судя по нынешним тенденциям, вполне можно представить, что новая функция HTTPS-only в будущем станет стандартной и будет включена по умолчанию. Сейчас она активируется с помощью внутренних настроек Firefox (about:config) через флаг dom.security.https_only_mode, как показано на первом скриншоте.

    Функция очень похожа на то, как работает известное расширение HTTPS Everywhere от Фонда электронных рубежей и проекта Tor. Нужно заметить, что ещё полтора года назад был запущен проект Fusion по слиянию Tor Browser и Firefox, точнее, по интеграции функций Tor Browser непосредственно в Firefox.

    Внедрение HTTPS Everywhere в кодовую базу Firefox заявлялось как одна из целей проекта Fusion. Вот изначальные цели:

    • Дальнейшее противодействие фингерпринтингу. Защита от фингерпринтинга по шрифтам успешно работает, но в Firefox отключена по умолчанию, потому что ломает некоторые сайты. Разработчики ставят задачу сделать защиту более дружественной к пользователю, улучшить совместимость с сайтами и дальше отслеживать новые методы фингерпринтинга. Их будут блокировать в Tor Browser и Firefox одновременно.
    • Реализация фреймворка для обхода прокси.
    • Изучение наиболее оптимальных способов интеграции прокси Tor в Firefox. Клиент Tor можно реализовать в виде отдельного процесса или библиотеки (сейчас этот вопрос обсуждается).
    • Действительно приватный режим сёрфинга в Firefox, в котором будут включаться функции изоляции элементов, противодействия фингерпринтингу и прокси Tor. На тот момент в Tor Browser были многочисленные функции, отсутствующие в приватном режиме Firefox:

      • ползунок безопасности;
      • дисплей маршрутизации пакетов (circuit display);
      • HTTPS Everywhere, NoScript;
      • Tor Launcher;
      • подключаемые транспортные протоколы;
      • разнообразные другие улучшения.

      Mozilla до сих пор не определилась: возможно, после слияния функций есть смысл сделать два режима приватного серфинга (один из них с Tor).


      Непосредственная интеграция с сетью луковой маршрутизации Onion — одна из функций Tor Browser, которой не хватает в приватном режиме Firefox

    В дополнение к режиму HTTPS-only, основные производители браузеров собирались деактивировать устаревшие версии протоколов шифрования TLS 1.0 и 1.1 весной 2020 года. Mozilla сначала деактивировала их, но вскоре восстановила из-за пандемии коронавируса. Согласно официальной позиции, старые версии сохранили для доступа к государственным сайтам.

    Google планировал отключить устаревшие версии TLS в Chrome 81, одновременно с Mozilla. Но выпуск этой версии браузера был приостановлен из-за вируса. Соответственно, Chrome продолжил принимать соединения TLS 1.0 и 1.1. Это могло стать ещё одной причиной решения Mozilla.


    Глобальная рыночная доля браузеров с января 2012 по декабрь 2019 года. Источник: Statista

    Насколько полезен режим HTTPS-only? Возможно, его можно включить на профилях, которые используются исключительно для онлайн-банкинга или других важных задач в интернете.

    Многие пользователи могут посчитать режим HTTPS-only деструктивным, поскольку он блокирует доступ к определённым сайтам и ресурсам в интернете. Обходного пути нет. Сайты невозможно будет загрузить, если не отключить соответствующую функцию в about:config.



    GlobalSign
    Компания

    Комментарии 49

      +13
      Многие пользователи могут посчитать режим HTTPS-only деструктивным, поскольку он блокирует доступ к определённым сайтам и ресурсам в интернете. Обходного пути нет. Сайты невозможно будет загрузить, если не отключить соответствующую функцию в about:config.

      А потом в версии 86 этот режим сделают не отключаемым, chromium думаю к этому моменту тоже подтянется. И вот уже без сертификата вы не можете держать свой сайт так как на него никто не сможет зайти.
      А потом окажется что letsencrypt.org находится в подчинении какого то государства которое внезапно может требовать отзывов сертификатов у неугодных сайтов… хорошая будет цензура.
      PS. Табличка «Sarcasm»
        +3
        И вот уже без сертификата вы не можете держать свой сайт так как на него никто не сможет зайти.
        А к вам и так в ряде случаев зайти по HTTP не смогут. Например, если провайдер, подставляя свой контент в HTTP-трафик, сломает ваши скрипты, то клиенты провайдера увидят, что ваш сайт не работает и уйдут.
          –3
          А где именно по ссылке можно прочесть про «сломает ваши скрипты»?
        +1
        В наше время HTTPS практически обязателен для каждого веб-сайта.
        Я бы сказал, что это уже как базовая гигиена.
          +3
          а сколько внутренних ресурсов вроде точек доступа без https живет… ух.
            +2
            Ещё лучше, когда с ним, но его вначале надо включить… через http
              0

              Это не проблема, если к точке вначале нельзя подключиться.

            +1
            В дополнение к режиму HTTPS-only, основные производители браузеров собирались деактивировать устаревшие версии протоколов шифрования TLS 1.0 и 1.1 весной 2020 года. Mozilla сначала деактивировала их, но вскоре восстановила из-за пандемии коронавируса. Согласно официальной позиции, старые версии сохранили для доступа к государственным сайтам.
            Красиво получается:
            Государствам (спецслужбам) не выгодно внедрение более сильного шифрования и новых протоколов без уязвимостей. Они оставляют несколько государственных сайтов на TLS 1.0, и производители браузеров не могут полностью отключить этот протокол ;)
              +5

              Традиционный вопрос про доступ к админке домашнего роутера.

                0
                Могут догадаться пускать на локальные айпи без SSL/TLS.
                  –1
                  Традиционный ответ — самоподписанный сертификат.
                    +4
                    Эм, а как сертификат, если вход в админку только через HTTP? ) Надеяться, что прочие способы доступа оставили?
                      –1
                      Домашний сервер (с редиректом на роутер), нормальный домен и сертификат от Let's Encrypt. Хотя, если роутер хороший, вроде старших Кинетиков, поддерживающих Netware, можно и там HTTPS завести.
                        0
                        Хороший роутер — это микротик, его через винбокс настроить можно. А что делать с голым роутером, производители которого начальные настройки через http сделали?
                        IE теперь держать ещё и ради этого? )
                          0
                          У микротиков есть 4 антенны на два диапазона?
                            +2
                            В разрезе обсуждения админки по http/https — отличный вопрос и сертификатов!

                            А у кинетиков есть 10 Гбит порты?
                              –1
                              Ну, это уже не домашний вариант :)
                                +4
                                Знаете, микротики изначально так не очень домашние, больше офисные, но сегмент заявлен общий производителем.
                                Но когда коробочка вообще без внешних антенн обеспечивает вайфай стабильнее и лучше кучи типа стильных, то я лично предпочту такой вот недомашний вариант.
                                  +2
                                  Про домашние микротики недавно был знатный холивар у Сергея Вильянова, который намеренно попытался максимально обосрать микротик с позиции домашнего роутера.

                                  Конечно, для «продвинутого» пользователя высказанные там претензии смешны, но вот для непродвинутого необходимость, например, смотреть присвоенный шлюз в свойствах соединения, чтобы узнать IP-адрес роутера, это проблема. «Домашний роутер» таки подразумевает всякие мелкие удобства типа «воткнул, открыл браузер и браузер сразу предложил перейти на captive portal для настройки роутера», чего у микротика нет и не будет.
                                    0
                                    Зато помню историю, как роутер этой породы стал причиной странных глюков офисной сети, вылеченных только после замены его на продукт другого производителя.
                                    На этом я закрыл попытку натянуть сову на глобус. Ведь, ни у какого админа в истории не было случаев, как замена девайса на другой избавляла сеть от глюков?
                                    Конечно, для «продвинутого» пользователя высказанные там претензии смешны, но вот для непродвинутого необходимость, например, смотреть присвоенный шлюз в свойствах соединения, чтобы узнать IP-адрес роутера, это проблема.
                                    Именно поэтому там нет ни одной фотки снизу роутера? Или ему там посмотреть на наклейки снизу религия не позволила? Или он никогда такого не делал на других роутерах, там всегда были 192.168.0.1? Не могло быть х.х.1.1? А логины и пароли же бывают admin/admin, не иначе…
                                    Извините, но кажется, кроме попыток выставить себя мушкетёром никакого холивара нет — и это считывается по первым абзацам.

                                    Человек гордится, что он стеклянный *** разбил и руку порезал? Но холивар то в чём?

                                    PS. Зачем я решил комменты прочесть, не читая статьи. Там же всё ещё хуже…
                                    PPS. Мысли в слух: интересно, через сколько времени данный товарищ засунул бы себе в одно место свой обычный домашний роутер, встретив локального провайдера с идиотскими настройками сети (какой-нибудь PPPoE через серверы по доменному имени с динамическими IP), которые поддерживают 2,5 инвалидных роутера или какой-нибудь асус но с прошивкой сторонней? Ещё интереснее, когда какой-нибудь обычный роутер тп-линк мог виснуть раз в сутки ровно в сутки, когда провайдер менял IP клиенту. Ну, или встретив асус, который хорошо работал пару дней после перепрошивки, после чего резал канал до минимального и так ровно до следующей попытки перепрошить. Ведь домашние роутеры же просто работают!
                              0
                              У моего роутера есть 4 антенны на 2 диапазона, но админка по http.
                          –1
                          Однократно войти браузером, поддерживающим HTTP, и настроить. Это если мы предположим, что поддержку HTTP вырежут, а её ведь даже никто не собирается вырезать. Может, когда-нибудь отключат по умолчанию. Значит, зайдем в настройки и включим.

                          А может даже сделают исключение для адресов из приватных диапазонов.
                            +1
                            Однократно войти браузером, поддерживающим HTTP, и настроить.
                            Тогда ИЕ, глядишь, ещё и нас переживёт) Либо инструкции будут в духе «скачайте на другом компьютере такой-то браузер, что бы войти в настройки роутера...»
                            Может, когда-нибудь отключат по умолчанию. Значит, зайдем в настройки и включим.
                            Что там выше было про домашние роутеры, куда зашёл и всё настроилось? А, так вы, дорогие домашние пользователи, вначале погуглите с другого устройства, как отключить эту галочку, а потом…
                            А может даже сделают исключение для адресов из приватных диапазонов.
                            Собственно, единственная надежда, хотя уже сейчас задалбливает десяток запросов о том, что я действительно уверен, что хочу зайти на сий сайт и из него запустить кое что в сегменте домашней сети, пока настроишь некоторые вещи. Если же для подобных вещей каждый раз придётся лезть в конфиг, то повторится ситуация с тем, как люди сидели под админами.
                              0
                              Может в IE11 под Win 7 останется поддержка Флеш по причине отсутствия обнов?
                        –1
                        Использовать приложение? большинство роутеров сейчас настраиваются через приложение и/или SSH если очень нужно.
                          +1

                          Идея с приложением настолько ужасная, что даже не хочется расписывать все ее проблемы. А ssh… В бытовых роутерах там обычно огрызок диагностики, по возможностям и удобству уступающий даже традиционно кривым веб-мордам (хотя казалось бы это невозможно)

                        +2
                        А как же вебморды для всяких девайсов в локалке?
                        Неужели нельзя сделать, чтобы для конкретного сайта можно было бы поставить галочку исключения требования «только https»?
                          +1
                          Сейчас в Firefox даже для https:// сайта можно сказать «хочу к нему ходить по http». Надеюсь они это в ближайшее время не соберуться убрать, а то иногда очень надо…
                            0
                            Надеюсь что так и будет ибо совершенно не радует поддерживать ещё и форк (свой браузер) без закрученных гаек.
                          +1

                          Уже несколько недель использую HTTPS Everywhere в режиме "Encrypt All Sites Eligible is ON". По большей части проблемы возникают в двух случаях:
                          а) малоизвестные сайты;
                          б) ресурсы локальной сети (RFC 1918).


                          К сожалению, HTTPS Everywhere не позволяет добавить вторые в исключения (что странно ибо в changelog последней версии явно указано "Add Private network IPs to exclusion for HTTPSE"). А первые, видимо, ещё нескоро обзаведутся поддержкой https.

                            0
                            Может они добавили исключение только при заходе по IP, а вы заходите по домену?
                              0

                              По IP тоже выскакивает ошибка с предложением добавить страницу в исключения.

                                +2
                                Нужно дождаться, когда для вашего браузера выйдет релиз с исправлением этой ошибки.

                                Она исправлена в коде 7 января 2020, для Chrome несколько дней назад уже вышел релиз, включающий этот фикс, а вот версия для Firefox пока задерживается.
                              0
                              Использую HTTPS Everywhere уже около двух лет. Он переключает на https, только если сайт доступен на https, если нет, то сайт вполне себе спокойно работает по http. Проверено на своем репозитории. Есть проблема с кешем редиеректа самого браузера. Если репа на поддомене, то зайдя на основной сайт, поддомен тоже будет пытаться редиректнуть на https из-за чего ошибка сертификата.
                                0

                                У вас видимо выключен EASE.

                                  0
                                  Действительно, проглядел. Посыпаю голову пеплом.
                              +11

                              http не может и не должен умереть. При том, что в ряде применений он не оптимальный, это очень понятный и простой протокол. Любовь к закапыванию простых протоколов во имя overengineering — это тренд, но ему можно и нужно активно сопротивляться.

                                –1
                                Кроме того с тотальным переходом на https станет сложнее использовать кеширующие прокси, что в результате приведет к увеличению трафика.
                                  +1
                                  GGC работает с HTTPS, cloud flare тоже
                                    0
                                    Прошу прощения, я имел в виду локальный squid.
                                      +1

                                      Так можно использовать свой сертификат в таком случае

                                +2

                                Браузер только для интернета? Да у меня половина железок вообще не умеют httpS.

                                  0
                                  и уметь не будут! Особенно когда пойдут «умные лампочки с IPv6» ибо поддерживать SSL, актуализировать это всё просто нечем, соответствующего копеешного железа нет, ESP32 с Wi-Fi есть, а c поддержкой https их, вероятно, не будет никогда, ибо это извращение и оверинжиниринг.
                                    0
                                    Причем лампочкам нужно будет прописать статикой fc00::/7. С пульта, на котором только цифры, а остальное набивать кнопками «вверх» и «вниз» (как BISS на некоторых ресиверах).
                                  +1
                                  Да никогда в Firefox из коробки не будет полноценной защиты от фингерпринтинга. Не зря ведь создают специальный антидетект браузеры за $100/месяц, типа Linken Sphere и Indigo.
                                    0
                                    Они платные не потому, что лучше защищают от фингерпринтинга, а потому что умеют правдоподобно менять отпечатки
                                    0
                                    Вот не радует. Привык пользоваться для быстрого шаринга файлов программкой HTTPFileServer. Она HTTPS не умеет. Теперь пользоваться ей уже практически невозможно, хоть полноценный сервак с сертификатом поднимать ради того, чтобы раз в квартал отдать кому-то файл…
                                      +1
                                      Вместо блокировки HTTP-соединений могли бы сделать, как с самоподписанными или истёкшими сертификатами — разрешить пользователю согласиться с риском и зайти на сайт.
                                      Тогда большой проблемы не будет, HTTP-сайты действительно потеряют в посещаемости (не каждый будет соглашаться перейти на сайт), но если очень надо или железка не поддерживает HTTPS — юзеру не придётся искать портативную старую версию браузера и заходить через неё.
                                        –2
                                        Прекрасная инициатива в глобольном плане, но фактически еще один гвоздь в крышку гроба firefox.

                                        Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                        Самое читаемое