Firefox 76 bekommt HTTPS-only-Modus

Mozilla hat einen optionalen Modus in Firefox 76 implementiert, in welchem Firefox ausschließlich verschlüsselte Verbindungen akzeptiert und versucht, unverschlüsselte Verbindungen automatisch upzugraden.

Mehr als 82 Prozent aller Verbindungen von Firefox-Nutzern weltweit finden bereits verschlüsselt statt. Vereinfacht gesagt bedeutet dies, dass die Verbindungen über https:// und nicht über http:// erfolgen. In den USA liegt dieser Wert sogar bereits bei über 91 Prozent.

Nutzer, welche im wahrsten Sinne des Wortes auf Nummer sicher gehen wollen, können ab Firefox 76 über die Konfigurationsoberfläche about:config den Schalter dom.security.https_only_mode auf true setzen.

Wird nach Aktivierung dieses Modus eine URL ohne Protokoll in die Adressleiste eingegeben, ergänzt Firefox https:// anstelle von http://. Wird eine URL eingegeben, welche mit http:// beginnt, ändert Firefox das Protokoll automatisch in https://. Auch sämtliche über http:// eingebundene Sub-Ressourcen versucht Firefox automatisch über HTTPS zu laden.

Auf diese Weise können Seiten über HTTPS erreicht werden, welche vom Benutzer ursprünglich unverschlüsselt aufgerufen werden, aber grundsätzlich auch über eine verschlüsselte Verbindung ausgeliefert und nicht automatisch weitergeleitet werden. Oftmals sind aber auch auf Seiten, welche über https:// geladen werden, einzelne Ressourcen wie ein Drittanbieter-Widget nur unverschlüsselt eingebunden, obwohl diese auch über HTTPS verfügbar wären. Auch das wird in diesem Modus automatisch korrigiert.

Natürlich funktioniert ein Upgrade von unverschlüsseltem HTTP auf HTTPS nur, wenn der Server die jeweilige Ressource auch über HTTPS bereitstellt. Ein Fallback zurück auf unverschlüsseltes HTTP, falls eine Ressource über HTTPS nicht geladen werden kann, gibt es in diesem Modus ganz bewusst nicht. Der Name der Einstellung ist hier also Programm und es gilt: nur noch HTTPS.

Firefox 76 erscheint nach aktueller Planung am 5. Mai 2020. Die Neuerung ist bereits Teil der aktuellen Nightly-Version von Firefox.

Der Beitrag Firefox 76 bekommt HTTPS-only-Modus erschien zuerst auf soeren-hentzschel.at.

Antworten 2

Zitronella

28. März 2020 um 11:19

Gestern habe ich mir den Artikel noch einmal zu Gemüte geführt und es hatte einen positiven Effekt bei mir ausgelöst, nämlich dass ich eine private Webseite von mir jetzt mit HTTPS-only ausgestattet habe. Ich hatte früher schon einmal probiert ob es grundsätzlich möglich wäre, somit gab es schon das Zertifikat, aber die Webseite sah, wenn ich https (statt http) vorne ran stellte, zerrupft aus.

Beispiel (nicht meine Seite), wäre: ruft man im aktuellen Browser (74.0) die Webseite mit HTTP http://images.tawwat.com/gallery.php auf sieht sie gut aus. Ruft man die gleiche Seite mit HTTPS auf https://images.tawwat.com/gallery.php ist alles zerrupft.

Das gleiche im aktuellen Nightly 76.0a1 (2020-03-27) (64-Bit) mit dom.security.https_only_mode auf true wird die Seite automatisch von HTTP auf HTTPS umgeleitet und sie sieht trotzdem gut aus, also nix ist zerrupft.

Das liegt wohl daran, dass Firefox erfolgreich auch die eingebundene Sub-Ressourcen über HTTPS lädt.

Somit habe ich an meiner Seite einiges an Verlinkungen und Sub-Ressourcen geändert und es gibt nun dadurch eine Seite mehr mit HTTPS im Internet Dafür noch mal herzlichen Dank für die unermüdlich guten und ausführlichen Artikel von dir Sören

Heute verglich ich mal mit dem Tor Browser, weil dort automatisch die Erweiterung HTTPS Everywhere vorhanden ist, wie es dort aus sieht:

Die gleiche HTTP Seite http://images.tawwat.com/gallery.php wird nicht auf HTTPS umgeleitet mit den Standardeinstellungen in HTTPS-Everywhere. Standard ist dort: "Alle geeigneten Seiten verschlüsseln ist AUS". Stellt man diese auf AN, wird die Seite mit HTTPS neu geladen und sieht auch wieder zerrupft aus. (also genau gleich als würde man es per Hand machen wie oben beschrieben)

Ein deutliches PLUS für dom.security.https_only_mode

Die HTTP Seite http://wdrmedien-a.akamaihd.net/medp/ondemand/…49_26302162.mp4 wird sowohl mit HTTPS Everywhere (egal ob "Alle geeigneten Seiten verschlüsseln" AN oder AUS ist) als auch mit dom.security.https_only_mode auf true automatisch auf HTTPS umgeleitet/aufgerufen und funktioniert mit beiden einwandfrei. (dort gibt es halt auch keine Sub-Ressourcen)

Jetzt aber auch zu den negativen Auswirkungen mit dom.security.https_only_mode auf true:

Kontent von HTTP Seiten können gar nicht mehr betrachtet werden wie zb. http://noip.magix.net führt bei HTTPS zur Fehlermeldung Fehlercode: SSL_ERROR_BAD_CERT_DOMAIN und wenn man da die Ausnahme bestätigt wird man auf die HTTPS Hauptseite von magix.net geleitet und bekommt somit den eigentlichen Kontent (der nur aus dem Wort "Test" besteht) niemals zu sehen.

Weiteres Beispiel: http://mixed-favicon.badssl.com/favicon.ico

Zitat

Die aufgerufene Website leitet die Anfrage so um, dass sie nie beendet werden kann.

Dieses Problem kann manchmal auftreten, wenn Cookies deaktiviert oder abgelehnt werden.

verwirrende Fehlermeldung, denn mit Cookies hat das wohl eher wenig zu tun.

Mit HTTPS-Everywhere mit "Alle geeigneten Seiten verschlüsseln ist AN" bekommt man eine Meldung, in der man für diese Seite eine Ausnahme definieren kann.

Auf https://badssl.com/ findet man bestimmt noch vieles mehr an Seiten, wo man die Funktionalität vergleichen kann.

Mein Fazit: der HTTPS-only Modus könnte sich zu einer tollen Sache entwickeln, wenn er mehr Einstellungen (für Ausnahmen) bekäme.

Aber er steckt wohl noch in den Kinderschuhen und per Default wird der Wert auf true wohl nicht so schnell umgestellt werden (hoffe ich)

Sören Hentzschel

28. März 2020 um 11:45

Zitat von Zitronella

Dafür noch mal herzlichen Dank für die unermüdlich guten und ausführlichen Artikel von dir Sören

Gerne und Danke!

Zitat von Zitronella

Weiteres Beispiel: http://mixed-favicon.badssl.com/favicon.ico

Zitat

Die aufgerufene Website leitet die Anfrage so um, dass sie nie beendet werden kann.
Dieses Problem kann manchmal auftreten, wenn Cookies deaktiviert oder abgelehnt werden.

verwirrende Fehlermeldung, denn mit Cookies hat das wohl eher wenig zu tun.

Das Problem kann mit Cookies zusammenhängen. Das ist wohl eine häufige Ursache für diese Fehlermeldung. Firefox kann aber nicht tatsächlich wissen, was der Grund für eine Weiterleitung ist.

Jedoch ist es geplant, die Fehlermeldungen in diesem Modus zu verbessern. Wie genau das aussieht, kann ich noch nicht sagen. Die Lösung könnte aber darin bestehen, dass bei aktiviertem HTTPS-only-Modus das als mögliche Ursache mit erwähnt wird.

Die HTTPS-Version von http://mixed-favicon.badssl.com/favicon.ico leitet auf die unverschlüsselte HTTP-Seite um. Denn das ist eine Testseite, die keinen Sinn hat, wenn sie nicht so aufgerufen wird, wie sie gedacht ist. Und wenn Firefox von http:// auf https:// umleitet, kommt es zu einer Endlosschleife. Daher die Fehlermeldung, dass die Anfrage nie beendet werden kann. Weil es immer hin und her geht.

Die Seiten von badssl.com sind zum Testen nicht wirklich geeignet, weil sie genau deswegen Weiterleitungen eingerichtet haben, da die Tests sonst nicht wie gedacht funktionieren.

Zitat von Zitronella

Mein Fazit: der HTTPS-only Modus könnte sich zu einer tollen Sache entwickeln, wenn er mehr Einstellungen (für Ausnahmen) bekäme.
Aber er steckt wohl noch in den Kinderschuhen und per Default wird der Wert auf true wohl nicht so schnell umgestellt werden (hoffe ich)

Keine Kinderschuhe, da das Feature genau so funktioniert, wie es gedacht ist. Es heißt ja "HTTPS-only", nicht "HTTPS-teilweise". Eine Ausnahmefunktion ist zumindest derzeit seitens Mozilla nicht geplant.

Eine standardmäßige Aktivierung wird auf absehbare Zeit auch nicht erfolgen. Vielleicht in ein paar Jahren. Vielleicht auch nie. Vielleicht auch erstmal nur im privaten Modus. Der ganze Modus wird derzeit als experimentell betrachtet. Das hängt ja auch ein wenig davon ab, wie sich die Zahlen entwickeln, was langfristig als Standard möglich ist und was nicht.

Diskutiere mit!