Разработчик популярного браузера Firefox, компания Mozilla будет постепенно отказываться от поддержки протокола HTTP в пользу зашифрованного протокола HTTPS. Это решение было принято после всестороннего и бурного обсуждения в списке почтовой рассылки.Эра повсеместного перехода на шифрование будет происходить в два этапа. Сначала будет выбрана дата, по наступлению которой все новые функции будут поддерживаться только на HTTPS-сайтах. Затем постепенно начнётся отключение традиционных функций. То, какие функции веба нужно считать новыми, также будет обсуждаться в сообществе разработчиков.
План не отвергает полностью использование старых ссылок в формате http – вместо этого они будут преобразовываться в HTTPS через HSTS и атрибут upgrade-insecure-requests (средства, которыми пользуется сервер для переадресации всех запросов по безопасным каналам). Mozilla призывает разработчиков активнее включаться в движение по усилению безопасности работы в интернете, и планирует представить свои рекомендации консорциуму W3C.
Для нормальной поддержки на своём сайте безопасного протокола HTTPS администратору необходимо получить сертификат от одной из доверенных компаний. Mozilla указывает, что хотя обычно эти сертификаты продаются за деньги, уже сейчас можно получить бесплатные сертификаты от StartSSL и WoSign. В середине 2015 года запустится проект от самой компании Mozilla, Let's Encrypt, где можно будет в автоматическом режиме получать бесплатные сертификаты.
После того как факты массовой слежки за интернет-пользователями были подтверждены, все разработчики постоянно усиливают меры, призванные повысить безопасность пользователей. Например, Google повышает в рейтинге поисковой выдачи сайты, работающие по HTTPS.
Комментарии (37)
ReklatsMasters
02.05.2015 22:46+4Наши законотворцы могут в ответ на эти планы либо запретить https, либо запретить все сертификаты, кроме тех, что выданы каким-нибудь РосКомШифрованием. К концу года, думаю, это реально.
a553
03.05.2015 00:32+2Да зачем запрещать? Использовать существующий CA, а когда его заблокируют, заставить добавить в доверенные новый.
vsb
03.05.2015 20:02Просто делать MITM на все HTTPS соединения и всё. Хочешь смотреть интернет — добавляй их сертификат в доверенные.
vikarti
06.05.2015 05:14-1Кто будет обьяснять как это делать в случае приложений вроде secondlife (где по https идет их служебный трафик (не вебстраницы а текстуры например) при этом в сообщения об ошибках при MITM — вообще всякое разное вроде «проверьте часы»)
Кто будет фиксить например тот же ABBY Lingvo for Android/iOS и другие приложения где используется для проверки in-app-покупок certificate pinning как раз для того чтобы пользователь НЕ мог добавить сертификат в доверенные? А что на это скажет техподдержка компании которая этот pinning внедрила?vsb
06.05.2015 10:23> Кто будет обьяснять как это делать в случае приложений вроде secondlife (где по https идет их служебный трафик (не вебстраницы а текстуры например) при этом в сообщения об ошибках при MITM — вообще всякое разное вроде «проверьте часы»)
Никак. Или SL должен переработать свою сетевую часть или провайдер должен добавить его в белый список.
> Кто будет фиксить например тот же ABBY Lingvo for Android/iOS и другие приложения где используется для проверки in-app-покупок certificate pinning как раз для того чтобы пользователь НЕ мог добавить сертификат в доверенные? А что на это скажет техподдержка компании которая этот pinning внедрила?
Не знаю, как это работает, тоже ничего не могу сказать.
Но могу сказать, что практика MITM достаточно обширная и применяется во многих организациях для слежки за сотрудниками (открыто). Поэтому наверняка компании уже сталкивались с этими проблемами и умеют их решать.
Vilgelm
03.05.2015 00:30+9Пусть только выдают wildcard сертификаты бесплатно или хотя бы не дороже 5-10 долларов. И без всяких ограничений бизнес\не бизнес. А так правильная идея.
Да, еще легко перевести свой сайт на HTTPS можно через Cloudflare. Сертификат, правда, будет фиг пойми какой, но браузер не ругается (кроме Opera Presto).
asdf404
03.05.2015 09:22+1Так они и собираются. Называется Let's Encrypt.
Vilgelm
03.05.2015 10:09+4enabling HTTPS for your site will be as easy as installing a small piece of certificate management software on the server
А более традиционными способами они не собираются выдавать сертификаты? Нет, идея то хорошая, но боюсь она не будет совместима с частью панель управления и другим софтом. Да и хостинги сразу идут лесом.
Mithgol
03.05.2015 09:42+2Подозреваю, что после перевода на обязательный HTTPS стоимость сертификации возвысится.
Типа, куды ж ты денешься, если сайт нужен.Vilgelm
03.05.2015 10:11+5Думаю если она возрастет или останется прежней, то скорее пользователи будут бежать от Firefox к другим браузерам. Ну зачем нужен такой браузер, в котором больше половины сайтов не открывается или работает черти как?
В конце концов есть Cloudflare с их бесплатным HTTPS.
KOLANICH
03.05.2015 01:03-5По-моему, эту деятельность иначе как подрывной не назовёшь. Вместо того чтобы сделать систему разрешений для веб-приложений, аналогичную системе разрешений для мобильных приложений, они (разработчики браузеров и консорциумы) отжимают веб без централизованной pki. То «http 2.0 будет требовать обязательного https, хотя его отсутствие никак не вредит функциям протокола», теперь это… Я не против шифрования, но я против его насильственного насаждения и я против той формы, которую приняло шифрование в вебе.
Почему они это отжимают? Потому что это НЕ НАШ ВЕБ. НЕ МЫ ЕГО СОЗДАЛИ. НЕ МЫ РАЗРАБОТАЛИ БРАУЗЕРЫ. НЕ МЫ РАЗРАБОТАЛИ ПРОТОКОЛЫ. НЕ МЫ ДОБИЛИСЬ ВНЕДРЕНИЯ НЕКОТОРЫХ СТАНДАРТОВ. НЕ МЫ БЕСПЛАТНО ПОДДЕРЖИВАЕМ БРАУЗЕРЫ И ИХ ИНФРАСТРУКТУРУ (обновления, турбо, бекапы) ДЛЯ ВСЕХ ПОЛЬЗОВАТЕЛЕЙ. Это не наш веб. Это их карманный веб, они его делают на свои деньги и поэтому распоряжаются им по своему усмотрению.
Eklykti
03.05.2015 07:27+3> аналогичную системе разрешений для мобильных приложений
Это типа как хомячки ставят клавиатуру, у которой в пермишшенах полный доступ к интернету и согласие на отправку всех вводимых строк хозяину в еуле? Или калькулятор, требующий отправку смс? Система разрешений работает только для тех пользователей, которые понимают, что они делают, а не для хомячков, вендой приученных тыкать только Далее — Далее — Готово.KOLANICH
03.05.2015 10:29-2>Это типа как хомячки ставят клавиатуру, у которой в пермишшенах полный доступ к интернету и согласие на отправку всех вводимых строк хозяину в еуле?
Не совсем. Каждое разрешение должно быть возможно индивидуально отозвать прозрачно или непрозрачно для приложения. Разрешения внедряются (разрешения на полный экран, захват мыши, геолокацию и использование оффлайн хранилища тому примером), но через одно место. Вместо того чтобы собрать управление разрешениями в одном апи, они раскидали его по разным апи. Для многих функций вообще нет разрешений, например для getBoundingClientRect, получения размеров текста на canvas, получение картинки с canvas, использования webgl(в TorBrowser для webgl и getImageData есть, но через апи недоступны) или получения данных с датчиков. Почему на мобильных так не сделали — потому что если бы сделали, из стора бы исчезли все приложения a la описанная вами клавиатура, что привеело бы к забрасыванию платформы разрабами, а после — и хомячьём. С вебом так не прокатит.
>Система разрешений работает только для тех пользователей, которые понимают, что они делают, а не для хомячков, вендой приученных тыкать только Далее — Далее — Готово.
Решается выставлением ограничений по-умолчанию в «запрещать» и после выводом страшного окна «вебсайт, возможно, вас пытается поиметь. Вебсайт требует разрешение такое-то. Вебсайт аргументирует его необходимость для того-то. Включение этого разрешения позволит сайту делать то-то то-то. Если для осуществления функции сайта по вашему мнению данное разрешение не требуется, не разрешайте его.». А неисправимое хомячьё, которому на всё плевать пусть страдает: до него всеми силами старались донести, а оно ни в какую".
Mixim333
03.05.2015 13:19+1> Потому что это НЕ НАШ ВЕБ. НЕ МЫ ЕГО СОЗДАЛИ. НЕ МЫ РАЗРАБОТАЛИ БРАУЗЕРЫ
— видимо тема «импортозамещения» не только в мозгах наших дЯпутатов и правительства. Если есть паранойя что «это все не наше», так создавайте «свой веб» (только используйте на это личные деньги, а не бюджет), про не наши браузеры — тут вообще плевое дело — скачайте исходники, например, Chromium (https://www.chromium.org/developers/how-tos/get-the-code) и сделайте на его основе «наш браузер» (не забудьте выкинуть «плохой», с вашей точки зрения, код).
Athari
03.05.2015 10:55+1Чую IPv6, версия 2.0.
Лет через 10-20 что-нибудь будет заметно, а пока можно спать спокойно, наслаждаясь влезанием в страницы всяких Билайнов.
mayorovp
03.05.2015 12:39И как же теперь на 192.168.0.1 и аналогичные страницы заходить?..
Сначала Хром, теперь Firefox… Опера наверняка следом за Хромом пойдет, если еще не пошла.
Неужели моим любимым браузером станет Internet Explorer?
Ivan_83
04.05.2015 00:52Да, видимо они только по сайтам и умеют ходить, а то что есть куча мест где http/1.0 и шифрования не только нет но оно и не предвидется в виду отсутствия необходимости им не ведомо.
Да и сайтам то многим https нафик не впёрся, даже если сертификаты будут за даром привозить и устанавливать.
qw1
04.05.2015 14:55Придётся использовать два браузера: современный и красивый для сайтов и старенькую рабочую лошадку для администрирования/конфигурирования. Несложно переучиться.
Ivan_83
06.05.2015 00:34Скорее придётся применять патчи перед сборкой либо переехать на форк где этой болезни нет.
qw1
06.05.2015 00:48Тот же firefox сам обновляется из сети. А так придётся по полгода сидеть на дырявых версиях, потому что сложно находить полчаса времени каждые 2 недели, чтобы обновиться, пересобрать, перенести настройки.
Eklykti
06.05.2015 12:40+1В генте можно просто положить патч в /etc/portage/patches/www-client/firefox и каждая новая версия будет автоматически собираться с этим патчем.
qw1
06.05.2015 18:02Помню, как-то пробовал сидеть на генте )))
Каждые сутки оставлять на ночь emerge (-U world) это даже для супер-гиков как-то слишком.
petropavel
07.05.2015 11:48+1Хмм, а машина у вас есть? Каждый вечер двигатель перебирать — не слишком?
у меня гента уже лет десять как. везде. emerge -U world не запускал еще ни разуqw1
07.05.2015 13:20Хочется же, чтобы всё было самых актуальных версий. По идее, emerge не должен обновлять то, что не требует обновлений.
Ivan_83
10.05.2015 15:52-1Это под виндой.
Я из портов обновляюсь, пересборкой.
Желающих использовать фф для работы, где ссл нет и не будет, будет явно дофига, потому и патч будет оперативный и регулярный, скорее всего универсальный для всех ОС.
На фре его скорее всего вынесут в опции для порта.
zenden2k
03.05.2015 18:22Гугл отключает джаву, фирефокс отключает дополнения, теперь запрещает HTTP, доколе мы будем терпеть произвол производителей ПО???
fundorin
04.05.2015 15:23+3Мои мечты о том, чтобы слетать в будущее, купить там по дешевке какой-нибудь б\у гаджет и пользоваться им в нашем времени как супер-мега-флагманом разбиваются об вот такие новости. Эх.
Revertis
05.05.2015 18:57Интересно, почему никто из производителей браузеров не придумал для начала при вводе домена, да и при нажатии Ctrl+Enter в адресной строке, лезть сначала на httpS версию сайта, а потом, если на 443-ем порту не отвечают, лезть на 80-й? В таком случае и необходимость HSTS снизилась бы.
JIghtuse
05.05.2015 19:28Потому что на https и http могут находиться разные сервисы (к примеру, домашняя страница и личный owncloud), а пользователь, вероятно, знает, чего хочет.
Для решения такой проблемы есть дополнения — HTTPS Everywhere, HTTP Nowhere.Revertis
08.05.2015 19:31-2Вот именно это мне и не нравится. Владельцы сайтов слишком вольны в этом плане, и все их действия ведут к тому, что мы сейчас наблюдаем. Нужен порядок, а для этого кто-то должен применить силу.
qw1
09.05.2015 12:18Чтобы зайти на другой сервис, нужно ввести префикс протокола.
Речь о том, чтобы для адресов без префикса сначала смотреть https.
Принципиально для случая с разными сервисами ничего не меняется, просто сервис на https становится дефолтным.
Зато пользователь защищается от MITM. Ведь если он вводит «mail.ru», злоумышленник, контроллирующий канал, может легко перенаправить на какой-нибудь mail-ru.ru и там уже собирать пароли и проксировать на настоящий сервис и пользователь даже ничего не заметит.
nikitasius
06.05.2015 16:00Кстати именно Mozilla могут заявлять о повальном https в отличие от того же гугла, потому что пользователь с FF на любой системе может использовать актуальные и современные шифры.
Хром же использует системные криптобиблиотеки, по этой причине у пользователей chrome+XP до сих пор не работает https, как должен.
Maximus43
Хм, а как же тогда будут указывать CDP в сертификатах? HTTPS ссылки на CRL файлы принципиально не подходят, будет бесконечный цикл проверок. CRL файлы подписаны, поэтому защищенность протокола роли не играет.
vsb
Они же выпиливают эту возможность в пользовательском интерфейсе. Зачем вам открывать URL CRL-файла в браузере?