Firefox внедряет режим «только HTTPS»
В тестовом билде Firefox Nightly реализован интересный режим. Возможно, когда-нибудь его включат по умолчанию, но сейчас он выглядит слегка необычно и его нужно вручную активировать из настроек.
Это режим HTTPS-only, в котором вы не можете загрузить сайты по незащищённому каналу. Если ввести адрес http://
, то браузер пытается переадресовать запрос на https://
, а в случае неудачи — блокирует загрузку. Все соединения должны быть зашифрованы в обязательном порядке.
Если не случится ничего экстраординарного, то функция перейдёт в финальный релиз Firefox 76, который планируется к выходу 5 мая 2020 года.
Это необязательная функция, которая активируется из настроек. Она ещё сильнее затруднит доступ к немногочисленным оставшимся сайтам, которые до сих пор не поддерживают шифрование TLS.
Согласно телеметрии Firefox, в настоящее время 82,4% веб-страниц в мире загружается через зашифрованное соединение, а в США — 91%.
Доля веб-страниц, которые загружаются по HTTPS в Firefox, 14-месячное скользящее среднее. Источник: телеметрия Firefox
В 2013 году по инициативе Mozilla создана организация Internet Security Research Group, которая в 2015 году запустила сервис Lets’s Encrypt по автоматической выдаче бесплатных сертификатов для TLS-шифрования. Google стал платиновым спонсором сервиса. Недавно этот центр выдал миллиардный сертификат.
Количество активных сертификатов Let’s Encrypt. Источник: Let’s Encrypt
В наше время HTTPS практически обязателен для каждого веб-сайта. Отсутствие HTTPS влияет на позиции в поисковой выдаче и оказывает серьёзное влияние на приватность в целом.
Chrome и Firefox уже помечают как небезопасные веб-сайты без HTTPS. С точки зрения восприятия пользователями это было важное изменение интерфейса. Исследования показали, что пользователи не воспринимают в качестве предупреждения отсутствие зелёной иконки с замочком «Защищено». А вот красный значок «голого» HTTP — это уже явное указание на опасность сайта.
Судя по нынешним тенденциям, вполне можно представить, что новая функция HTTPS-only в будущем станет стандартной и будет включена по умолчанию. Сейчас она активируется с помощью внутренних настроек Firefox (about: config) через флаг dom.security.https_only_mode
, как показано на первом скриншоте.
Функция очень похожа на то, как работает известное расширение HTTPS Everywhere от Фонда электронных рубежей и проекта Tor. Нужно заметить, что ещё полтора года назад был запущен проект Fusion по слиянию Tor Browser и Firefox, точнее, по интеграции функций Tor Browser непосредственно в Firefox.
Внедрение HTTPS Everywhere в кодовую базу Firefox заявлялось как одна из целей проекта Fusion. Вот изначальные цели:
- Дальнейшее противодействие фингерпринтингу. Защита от фингерпринтинга по шрифтам успешно работает, но в Firefox отключена по умолчанию, потому что ломает некоторые сайты. Разработчики ставят задачу сделать защиту более дружественной к пользователю, улучшить совместимость с сайтами и дальше отслеживать новые методы фингерпринтинга. Их будут блокировать в Tor Browser и Firefox одновременно.
- Реализация фреймворка для обхода прокси.
- Изучение наиболее оптимальных способов интеграции прокси Tor в Firefox. Клиент Tor можно реализовать в виде отдельного процесса или библиотеки (сейчас этот вопрос обсуждается).
- Действительно приватный режим сёрфинга в Firefox, в котором будут включаться функции изоляции элементов, противодействия фингерпринтингу и прокси Tor. На тот момент в Tor Browser были многочисленные функции, отсутствующие в приватном режиме Firefox:
- ползунок безопасности;
- дисплей маршрутизации пакетов (circuit display);
- HTTPS Everywhere, NoScript;
- Tor Launcher;
- подключаемые транспортные протоколы;
- разнообразные другие улучшения.
Mozilla до сих пор не определилась: возможно, после слияния функций есть смысл сделать два режима приватного серфинга (один из них с Tor).
Непосредственная интеграция с сетью луковой маршрутизации Onion — одна из функций Tor Browser, которой не хватает в приватном режиме Firefox - ползунок безопасности;
В дополнение к режиму HTTPS-only, основные производители браузеров собирались деактивировать устаревшие версии протоколов шифрования TLS 1.0 и 1.1 весной 2020 года. Mozilla сначала деактивировала их, но вскоре восстановила из-за пандемии коронавируса. Согласно официальной позиции, старые версии сохранили для доступа к государственным сайтам.
Google планировал отключить устаревшие версии TLS в Chrome 81, одновременно с Mozilla. Но выпуск этой версии браузера был приостановлен из-за вируса. Соответственно, Chrome продолжил принимать соединения TLS 1.0 и 1.1. Это могло стать ещё одной причиной решения Mozilla.
Глобальная рыночная доля браузеров с января 2012 по декабрь 2019 года. Источник: Statista
Насколько полезен режим HTTPS-only? Возможно, его можно включить на профилях, которые используются исключительно для онлайн-банкинга или других важных задач в интернете.
Многие пользователи могут посчитать режим HTTPS-only деструктивным, поскольку он блокирует доступ к определённым сайтам и ресурсам в интернете. Обходного пути нет. Сайты невозможно будет загрузить, если не отключить соответствующую функцию в about: config.