Firefox внедряет режим «только HTTPS» +13







В тестовом билде Firefox Nightly реализован интересный режим. Возможно, когда-нибудь его включат по умолчанию, но сейчас он выглядит слегка необычно и его нужно вручную активировать из настроек.

Это режим HTTPS-only, в котором вы не можете загрузить сайты по незащищённому каналу. Если ввести адрес http://, то браузер пытается переадресовать запрос на https://, а в случае неудачи — блокирует загрузку. Все соединения должны быть зашифрованы в обязательном порядке.

Если не случится ничего экстраординарного, то функция перейдёт в финальный релиз Firefox 76, который планируется к выходу 5 мая 2020 года.

Это необязательная функция, которая активируется из настроек. Она ещё сильнее затруднит доступ к немногочисленным оставшимся сайтам, которые до сих пор не поддерживают шифрование TLS.

Согласно телеметрии Firefox, в настоящее время 82,4% веб-страниц в мире загружается через зашифрованное соединение, а в США — 91%.


Доля веб-страниц, которые загружаются по HTTPS в Firefox, 14-месячное скользящее среднее. Источник: телеметрия Firefox

В 2013 году по инициативе Mozilla создана организация Internet Security Research Group, которая в 2015 году запустила сервис Lets's Encrypt по автоматической выдаче бесплатных сертификатов для TLS-шифрования. Google стал платиновым спонсором сервиса. Недавно этот центр выдал миллиардный сертификат.


Количество активных сертификатов Let's Encrypt. Источник: Let's Encrypt

В наше время HTTPS практически обязателен для каждого веб-сайта. Отсутствие HTTPS влияет на позиции в поисковой выдаче и оказывает серьёзное влияние на приватность в целом.

Chrome и Firefox уже помечают как небезопасные веб-сайты без HTTPS. С точки зрения восприятия пользователями это было важное изменение интерфейса. Исследования показали, что пользователи не воспринимают в качестве предупреждения отсутствие зелёной иконки с замочком «Защищено». А вот красный значок «голого» HTTP — это уже явное указание на опасность сайта.

Судя по нынешним тенденциям, вполне можно представить, что новая функция HTTPS-only в будущем станет стандартной и будет включена по умолчанию. Сейчас она активируется с помощью внутренних настроек Firefox (about:config) через флаг dom.security.https_only_mode, как показано на первом скриншоте.

Функция очень похожа на то, как работает известное расширение HTTPS Everywhere от Фонда электронных рубежей и проекта Tor. Нужно заметить, что ещё полтора года назад был запущен проект Fusion по слиянию Tor Browser и Firefox, точнее, по интеграции функций Tor Browser непосредственно в Firefox.

Внедрение HTTPS Everywhere в кодовую базу Firefox заявлялось как одна из целей проекта Fusion. Вот изначальные цели:

  • Дальнейшее противодействие фингерпринтингу. Защита от фингерпринтинга по шрифтам успешно работает, но в Firefox отключена по умолчанию, потому что ломает некоторые сайты. Разработчики ставят задачу сделать защиту более дружественной к пользователю, улучшить совместимость с сайтами и дальше отслеживать новые методы фингерпринтинга. Их будут блокировать в Tor Browser и Firefox одновременно.
  • Реализация фреймворка для обхода прокси.
  • Изучение наиболее оптимальных способов интеграции прокси Tor в Firefox. Клиент Tor можно реализовать в виде отдельного процесса или библиотеки (сейчас этот вопрос обсуждается).
  • Действительно приватный режим сёрфинга в Firefox, в котором будут включаться функции изоляции элементов, противодействия фингерпринтингу и прокси Tor. На тот момент в Tor Browser были многочисленные функции, отсутствующие в приватном режиме Firefox:

    • ползунок безопасности;
    • дисплей маршрутизации пакетов (circuit display);
    • HTTPS Everywhere, NoScript;
    • Tor Launcher;
    • подключаемые транспортные протоколы;
    • разнообразные другие улучшения.

    Mozilla до сих пор не определилась: возможно, после слияния функций есть смысл сделать два режима приватного серфинга (один из них с Tor).


    Непосредственная интеграция с сетью луковой маршрутизации Onion — одна из функций Tor Browser, которой не хватает в приватном режиме Firefox

В дополнение к режиму HTTPS-only, основные производители браузеров собирались деактивировать устаревшие версии протоколов шифрования TLS 1.0 и 1.1 весной 2020 года. Mozilla сначала деактивировала их, но вскоре восстановила из-за пандемии коронавируса. Согласно официальной позиции, старые версии сохранили для доступа к государственным сайтам.

Google планировал отключить устаревшие версии TLS в Chrome 81, одновременно с Mozilla. Но выпуск этой версии браузера был приостановлен из-за вируса. Соответственно, Chrome продолжил принимать соединения TLS 1.0 и 1.1. Это могло стать ещё одной причиной решения Mozilla.


Глобальная рыночная доля браузеров с января 2012 по декабрь 2019 года. Источник: Statista

Насколько полезен режим HTTPS-only? Возможно, его можно включить на профилях, которые используются исключительно для онлайн-банкинга или других важных задач в интернете.

Многие пользователи могут посчитать режим HTTPS-only деструктивным, поскольку он блокирует доступ к определённым сайтам и ресурсам в интернете. Обходного пути нет. Сайты невозможно будет загрузить, если не отключить соответствующую функцию в about:config.



Вы можете помочь и перевести немного средств на развитие сайта



Комментарии (42):

  1. VBKesha
    /#21425874 / +2

    Многие пользователи могут посчитать режим HTTPS-only деструктивным, поскольку он блокирует доступ к определённым сайтам и ресурсам в интернете. Обходного пути нет. Сайты невозможно будет загрузить, если не отключить соответствующую функцию в about:config.

    А потом в версии 86 этот режим сделают не отключаемым, chromium думаю к этому моменту тоже подтянется. И вот уже без сертификата вы не можете держать свой сайт так как на него никто не сможет зайти.
    А потом окажется что letsencrypt.org находится в подчинении какого то государства которое внезапно может требовать отзывов сертификатов у неугодных сайтов… хорошая будет цензура.
    PS. Табличка «Sarcasm»

    • dartraiden
      /#21426644

      И вот уже без сертификата вы не можете держать свой сайт так как на него никто не сможет зайти.
      А к вам и так в ряде случаев зайти по HTTP не смогут. Например, если провайдер, подставляя свой контент в HTTP-трафик, сломает ваши скрипты, то клиенты провайдера увидят, что ваш сайт не работает и уйдут.

      • 9660
        /#21435298

        А где именно по ссылке можно прочесть про «сломает ваши скрипты»?

  2. Revertis
    /#21426090

    В наше время HTTPS практически обязателен для каждого веб-сайта.
    Я бы сказал, что это уже как базовая гигиена.

  3. Burtanshy
    /#21426104

    а сколько внутренних тд без https живет… ух.

    • Am0ralist
      /#21426186

      Ещё лучше, когда с ним, но его вначале надо включить… через http

      • lostmsu
        /#21427150

        Это не проблема, если к точке вначале нельзя подключиться.

  4. Revertis
    /#21426108

    В дополнение к режиму HTTPS-only, основные производители браузеров собирались деактивировать устаревшие версии протоколов шифрования TLS 1.0 и 1.1 весной 2020 года. Mozilla сначала деактивировала их, но вскоре восстановила из-за пандемии коронавируса. Согласно официальной позиции, старые версии сохранили для доступа к государственным сайтам.
    Красиво получается:
    Государствам (спецслужбам) не выгодно внедрение более сильного шифрования и новых протоколов без уязвимостей. Они оставляют несколько государственных сайтов на TLS 1.0, и производители браузеров не могут полностью отключить этот протокол ;)

  5. sergey-b
    /#21426112

    Традиционный вопрос про доступ к админке домашнего роутера.

    • Revertis
      /#21426190

      Могут догадаться пускать на локальные айпи без SSL/TLS.

    • dartraiden
      /#21426642

      Традиционный ответ — самоподписанный сертификат.

      • Am0ralist
        /#21426676

        Эм, а как сертификат, если вход в админку только через HTTP? ) Надеяться, что прочие способы доступа оставили?

        • Revertis
          /#21426782

          Домашний сервер (с редиректом на роутер), нормальный домен и сертификат от Let's Encrypt. Хотя, если роутер хороший, вроде старших Кинетиков, поддерживающих Netware, можно и там HTTPS завести.

          • Am0ralist
            /#21426794

            Хороший роутер — это микротик, его через винбокс настроить можно. А что делать с голым роутером, производители которого начальные настройки через http сделали?
            IE теперь держать ещё и ради этого? )

            • Revertis
              /#21426840

              У микротиков есть 4 антенны на два диапазона?

              • Am0ralist
                /#21426934

                В разрезе обсуждения админки по http/https — отличный вопрос и сертификатов!

                А у кинетиков есть 10 Гбит порты?

                • Revertis
                  /#21426974

                  Ну, это уже не домашний вариант :)

                  • Am0ralist
                    /#21427022

                    Знаете, микротики изначально так не очень домашние, больше офисные, но сегмент заявлен общий производителем.
                    Но когда коробочка вообще без внешних антенн обеспечивает вайфай стабильнее и лучше кучи типа стильных, то я лично предпочту такой вот недомашний вариант.

                    • dartraiden
                      /#21428104

                      Про домашние микротики недавно был знатный холивар у Сергея Вильянова, который намеренно попытался максимально обосрать микротик с позиции домашнего роутера.

                      Конечно, для «продвинутого» пользователя высказанные там претензии смешны, но вот для непродвинутого необходимость, например, смотреть присвоенный шлюз в свойствах соединения, чтобы узнать IP-адрес роутера, это проблема. «Домашний роутер» таки подразумевает всякие мелкие удобства типа «воткнул, открыл браузер и браузер сразу предложил перейти на captive portal для настройки роутера», чего у микротика нет и не будет.

                      • Am0ralist
                        /#21428822

                        Зато помню историю, как роутер этой породы стал причиной странных глюков офисной сети, вылеченных только после замены его на продукт другого производителя.
                        На этом я закрыл попытку натянуть сову на глобус. Ведь, ни у какого админа в истории не было случаев, как замена девайса на другой избавляла сеть от глюков?
                        Конечно, для «продвинутого» пользователя высказанные там претензии смешны, но вот для непродвинутого необходимость, например, смотреть присвоенный шлюз в свойствах соединения, чтобы узнать IP-адрес роутера, это проблема.
                        Именно поэтому там нет ни одной фотки снизу роутера? Или ему там посмотреть на наклейки снизу религия не позволила? Или он никогда такого не делал на других роутерах, там всегда были 192.168.0.1? Не могло быть х.х.1.1? А логины и пароли же бывают admin/admin, не иначе…
                        Извините, но кажется, кроме попыток выставить себя мушкетёром никакого холивара нет — и это считывается по первым абзацам.

                        Человек гордится, что он стеклянный *** разбил и руку порезал? Но холивар то в чём?

                        PS. Зачем я решил комменты прочесть, не читая статьи. Там же всё ещё хуже…
                        PPS. Мысли в слух: интересно, через сколько времени данный товарищ засунул бы себе в одно место свой обычный домашний роутер, встретив локального провайдера с идиотскими настройками сети (какой-нибудь PPPoE через серверы по доменному имени с динамическими IP), которые поддерживают 2,5 инвалидных роутера или какой-нибудь асус но с прошивкой сторонней?

        • dartraiden
          /#21428116

          Однократно войти браузером, поддерживающим HTTP, и настроить. Это если мы предположим, что поддержку HTTP вырежут, а её ведь даже никто не собирается вырезать. Может, когда-нибудь отключат по умолчанию. Значит, зайдем в настройки и включим.

          А может даже сделают исключение для адресов из приватных диапазонов.

          • Am0ralist
            /#21428782

            Однократно войти браузером, поддерживающим HTTP, и настроить.
            Тогда ИЕ, глядишь, ещё и нас переживёт) Либо инструкции будут в духе «скачайте на другом компьютере такой-то браузер, что бы войти в настройки роутера...»
            Может, когда-нибудь отключат по умолчанию. Значит, зайдем в настройки и включим.
            Что там выше было про домашние роутеры, куда зашёл и всё настроилось? А, так вы, дорогие домашние пользователи, вначале погуглите с другого устройства, как отключить эту галочку, а потом…
            А может даже сделают исключение для адресов из приватных диапазонов.
            Собственно, единственная надежда, хотя уже сейчас задалбливает десяток запросов о том, что я действительно уверен, что хочу зайти на сий сайт и из него запустить кое что в сегменте домашней сети, пока настроишь некоторые вещи. Если же для подобных вещей каждый раз придётся лезть в конфиг, то повторится ситуация с тем, как люди сидели под админами.

    • shifttstas
      /#21429762

      Использовать приложение? большинство роутеров сейчас настраиваются через приложение и/или SSH если очень нужно.

      • DerRotBaron
        /#21435270

        Идея с приложением настолько ужасная, что даже не хочется расписывать все ее проблемы. А ssh… В бытовых роутерах там обычно огрызок диагностики, по возможностям и удобству уступающий даже традиционно кривым веб-мордам (хотя казалось бы это невозможно)

  6. qyix7z
    /#21426120 / +1

    А как же вебморды для всяких девайсов в локалке?
    Неужели нельзя сделать, чтобы для конкретного сайта можно было бы поставить галочку исключения требования «только https»?

    • Sklott
      /#21426238

      Сейчас в Firefox даже для https:// сайта можно сказать «хочу к нему ходить по http». Надеюсь они это в ближайшее время не соберуться убрать, а то иногда очень надо…

  7. FFiX
    /#21426288

    Уже несколько недель использую HTTPS Everywhere в режиме "Encrypt All Sites Eligible is ON". По большей части проблемы возникают в двух случаях:
    а) малоизвестные сайты;
    б) ресурсы локальной сети (RFC 1918).


    К сожалению, HTTPS Everywhere не позволяет добавить вторые в исключения (что странно ибо в changelog последней версии явно указано "Add Private network IPs to exclusion for HTTPSE"). А первые, видимо, ещё нескоро обзаведутся поддержкой https.

    • Revertis
      /#21426366

      Может они добавили исключение только при заходе по IP, а вы заходите по домену?

      • FFiX
        /#21426600

        По IP тоже выскакивает ошибка с предложением добавить страницу в исключения.

        • dartraiden
          /#21426718

          Нужно дождаться, когда для вашего браузера выйдет релиз с исправлением этой ошибки.

          Она исправлена в коде 7 января 2020, для Chrome несколько дней назад уже вышел релиз, включающий этот фикс, а вот версия для Firefox пока задерживается.

    • psycho-coder
      /#21428882

      Использую HTTPS Everywhere уже около двух лет. Он переключает на https, только если сайт доступен на https, если нет, то сайт вполне себе спокойно работает по http. Проверено на своем репозитории. Есть проблема с кешем редиеректа самого браузера. Если репа на поддомене, то зайдя на основной сайт, поддомен тоже будет пытаться редиректнуть на https из-за чего ошибка сертификата.

      • FFiX
        /#21429336

        У вас видимо выключен EASE.

        • psycho-coder
          /#21429510

          Действительно, проглядел. Посыпаю голову пеплом.

  8. amarao
    /#21426918

    http не может и не должен умереть. При том, что в ряде применений он не оптимальный, это очень понятный и простой протокол. Любовь к закапыванию простых протоколов во имя overengineering — это тренд, но ему можно и нужно активно сопротивляться.

    • kt97679
      /#21427248

      Кроме того с тотальным переходом на https станет сложнее использовать кеширующие прокси, что в результате приведет к увеличению трафика.

      • shifttstas
        /#21429774

        GGC работает с HTTPS, cloud flare тоже

        • kt97679
          /#21430456

          Прошу прощения, я имел в виду локальный squid.

          • shifttstas
            /#21435110

            Так можно использовать свой сертификат в таком случае

  9. sirocco
    /#21427146

    Браузер только для интернета? Да у меня половина железок вообще не умеют httpS.

  10. denisshabr
    /#21427326

    Да никогда в Firefox из коробки не будет полноценной защиты от фингерпринтинга. Не зря ведь создают специальный антидетект браузеры за $100/месяц, типа Linken Sphere и Indigo.

    • Darkhon
      /#21446396

      Они платные не потому, что лучше защищают от фингерпринтинга, а потому что умеют правдоподобно менять отпечатки

  11. Vindicar
    /#21428992

    Вот не радует. Привык пользоваться для быстрого шаринга файлов программкой HTTPFileServer. Она HTTPS не умеет. Теперь пользоваться ей уже практически невозможно, хоть полноценный сервак с сертификатом поднимать ради того, чтобы раз в квартал отдать кому-то файл…