Mozilla trennt sich von HTTP

Das World Wide Web soll sicherer werden – da sind sich die Browser-Entwickler einig und gehen schrittweise gemeinsam in entsprechende Richtungen. Zunächst Google – der Suchmaschinenriese machte HTTPS zum Rankingfaktor – nun zieht Mozilla nach: das Open Source-Projekt verzichtet künftig auf das unverschlüsselte HTTP und wechselt in zwei Schritten zu HTTPS.

Alle Funktionen künftig nur noch verschlüsselt

Richard Barnes, Sicherheitschef bei Mozilla, regte vor einigen Wochen in einer hitzigen Diskussion an, künftig auf HTTP als unverschlüsseltes Protokoll zu verzichten. Nun wird Mozilla konkret und verkündet das Ende von HTTP offiziell. Zwei Schritte sind für die Umstellung des längerfristig dauernden Wechsels vorgesehen: zunächst möchte Mozilla einen Stichtag festlegen, ab dem sämtliche neuen Browserfunktionen, die ebenfalls definiert werden sollen, ausschließlich von durch SSL-Zertifikate verschlüsselte Websites genutzt werden können. In einer längerfristig ausgelegten Planung könnten bestehende Funktionen zudem für unverschlüsselte Websites begrenzt werden. In den HTTPS-FAQ (PDF) verspricht Mozilla jedoch: „was auch immer eure Website heute macht, wird auch noch in Monaten oder Jahren funktionieren“. Mozilla vollzieht die Umstellung also eher gemächlich, sodass Sie genügend Zeit bekommen, sich jetzt für passende SSL-Zertifikate zu entscheiden. Entscheidungshilfe erhalten Sie von uns kostenfrei: mit unserem SSL-Vergleich finden Sie zügig und günstig zu Ihrem SSL-Zertifikat.

Barnes wägt zwischen Kompatibilität und Sicherheit ab

Barnes möchte keinesfalls Websites in ihrer Funktionalität beschneiden, sondern er betont in der Verkündung, zwischen Sicherheit und Kompatibilität abwägen zu wollen. Jede Änderung wolle Mozilla so rechtzeitig ankündigen, dass Website-Betreiber genügend Möglichkeiten hätten zu handeln. Barnes kann sich auch vorstellen, HTTP-Verbindungen bei entsprechenden Funktionen nicht ins Nirwana laufen zu lassen, sondern eine eingeschränkte Funktionalität während der Umstellung zu gewährleisten.

Beispielsweise ließen sich dauerhafte Ausnahmen komplett unterbinden, während jedoch einmaliges sowie vom Anwender bestätigtes Zugreifen möglich wäre. Insbesondere sollen jene Funktionen eingeschränkt werden, die in Zusammenhang mit Privatsphäre und Sicherheit stehen. HTTP-URLs sollen künftig weiterhin Bestand haben: via HSTS werden sie automatisiert in HTTPS-Anfragen umgewandelt, wenn eine entsprechende Website verschlüsselte Anfragen grundsätzlich unterstützt.

Die üblichen Einwände gegen HTTPS: vergessen Sie diese!

In den HTTPS-FAQ geht Barnes auch auf die üblichen Einwände gegenüber HTTPS ein, die in aller Regel auf Missverständnissen beruhen. Auch wir haben dieses Thema bereits in einem Artikel näher betrachtet – lesen Sie dazu gerne unseren Beitrag „HTTPS für besseres Google-Ranking – ist Verschlüsselung zu teuer und zu komplex?“, der mit diversen Vorurteilen aufräumt und Ihnen aufzeigt, wie einfach Sie an eine sichere und vor allem zukunftsfähige Website kommen – denn: Sie können und müssen sogar bei allen Browser-Entwicklern mit entsprechenden Änderungen rechnen.

Haben Sie Fragen zu diesem Thema? Gerne diskutieren wir mit Ihnen in den Kommentaren.

Update: Mozilla verbannt SSLv3 und RC4 aus Firefox

Firefox ist in der Version 39 erschienen; dennoch etwas verspätet, da noch ein Fehler korrigiert werden musste. Mit dem Update konnte Mozilla insbesondere die Sicherheitsaspekte des Browsers optimieren: das veraltete und verwundbare Protokoll SSLv3 wurde entfernt und die ebenfalls veraltete Verschlüsselung RC4 deaktiviert. Eine Ausnahme existiert für Hosts auf Whitelists. Die IETF hatte im Februar dafür gesorgt, den Einsatz der RC4-Stromverschlüsselung in TLS zu unterbinden.

Neu in der Firefox-Version 39 ist zudem der Malware-Schutz für Mac- und Linux-User: Dateien mit den Endungen .pkg, .dmg, .osx sowie .app werden nun analysiert. Beim Programmdownload überprüft Firefox darüber hinaus die Signaturen und gleicht Informationen mit der Safe-Browsing-Datenbank von Google ab. Mozilla spendiert Mac-Usern außerdem ein Plus an Usability: Animationen werden schöner dargestellt, ein weicheres Scrolling soll das Handling optimieren. Sämtliche Neuerungen können Sie in den Release Notes und in den Entwickler-Hinweisen nachlesen.