imageРазработчик популярного браузера Firefox, компания Mozilla будет постепенно отказываться от поддержки протокола HTTP в пользу зашифрованного протокола HTTPS. Это решение было принято после всестороннего и бурного обсуждения в списке почтовой рассылки.

Эра повсеместного перехода на шифрование будет происходить в два этапа. Сначала будет выбрана дата, по наступлению которой все новые функции будут поддерживаться только на HTTPS-сайтах. Затем постепенно начнётся отключение традиционных функций. То, какие функции веба нужно считать новыми, также будет обсуждаться в сообществе разработчиков.

План не отвергает полностью использование старых ссылок в формате http – вместо этого они будут преобразовываться в HTTPS через HSTS и атрибут upgrade-insecure-requests (средства, которыми пользуется сервер для переадресации всех запросов по безопасным каналам). Mozilla призывает разработчиков активнее включаться в движение по усилению безопасности работы в интернете, и планирует представить свои рекомендации консорциуму W3C.

Для нормальной поддержки на своём сайте безопасного протокола HTTPS администратору необходимо получить сертификат от одной из доверенных компаний. Mozilla указывает, что хотя обычно эти сертификаты продаются за деньги, уже сейчас можно получить бесплатные сертификаты от StartSSL и WoSign. В середине 2015 года запустится проект от самой компании Mozilla, Let's Encrypt, где можно будет в автоматическом режиме получать бесплатные сертификаты.

После того как факты массовой слежки за интернет-пользователями были подтверждены, все разработчики постоянно усиливают меры, призванные повысить безопасность пользователей. Например, Google повышает в рейтинге поисковой выдачи сайты, работающие по HTTPS.

Комментарии (37)


  1. Maximus43
    02.05.2015 18:24

    План не отвергает полностью использование старых ссылок в формате http – вместо этого они будут преобразовываться в HTTPS через HSTS и атрибут upgrade-insecure-requests (средства, которыми пользуется сервер для переадресации всех запросов по безопасным каналам).


    Хм, а как же тогда будут указывать CDP в сертификатах? HTTPS ссылки на CRL файлы принципиально не подходят, будет бесконечный цикл проверок. CRL файлы подписаны, поэтому защищенность протокола роли не играет.


    1. vsb
      02.05.2015 21:16
      +1

      Они же выпиливают эту возможность в пользовательском интерфейсе. Зачем вам открывать URL CRL-файла в браузере?


  1. ZoomLS
    02.05.2015 21:17
    +1

    Давно уже пора повсеместно HTTPS внедрять. Ещё до сенсаций Сноудена.


  1. ReklatsMasters
    02.05.2015 22:46
    +4

    Наши законотворцы могут в ответ на эти планы либо запретить https, либо запретить все сертификаты, кроме тех, что выданы каким-нибудь РосКомШифрованием. К концу года, думаю, это реально.


    1. a553
      03.05.2015 00:32
      +2

      Да зачем запрещать? Использовать существующий CA, а когда его заблокируют, заставить добавить в доверенные новый.


    1. vsb
      03.05.2015 20:02

      Просто делать MITM на все HTTPS соединения и всё. Хочешь смотреть интернет — добавляй их сертификат в доверенные.


      1. vikarti
        06.05.2015 05:14
        -1

        Кто будет обьяснять как это делать в случае приложений вроде secondlife (где по https идет их служебный трафик (не вебстраницы а текстуры например) при этом в сообщения об ошибках при MITM — вообще всякое разное вроде «проверьте часы»)

        Кто будет фиксить например тот же ABBY Lingvo for Android/iOS и другие приложения где используется для проверки in-app-покупок certificate pinning как раз для того чтобы пользователь НЕ мог добавить сертификат в доверенные? А что на это скажет техподдержка компании которая этот pinning внедрила?


        1. vsb
          06.05.2015 10:23

          > Кто будет обьяснять как это делать в случае приложений вроде secondlife (где по https идет их служебный трафик (не вебстраницы а текстуры например) при этом в сообщения об ошибках при MITM — вообще всякое разное вроде «проверьте часы»)

          Никак. Или SL должен переработать свою сетевую часть или провайдер должен добавить его в белый список.

          > Кто будет фиксить например тот же ABBY Lingvo for Android/iOS и другие приложения где используется для проверки in-app-покупок certificate pinning как раз для того чтобы пользователь НЕ мог добавить сертификат в доверенные? А что на это скажет техподдержка компании которая этот pinning внедрила?

          Не знаю, как это работает, тоже ничего не могу сказать.

          Но могу сказать, что практика MITM достаточно обширная и применяется во многих организациях для слежки за сотрудниками (открыто). Поэтому наверняка компании уже сталкивались с этими проблемами и умеют их решать.


  1. Vilgelm
    03.05.2015 00:30
    +9

    Пусть только выдают wildcard сертификаты бесплатно или хотя бы не дороже 5-10 долларов. И без всяких ограничений бизнес\не бизнес. А так правильная идея.

    Да, еще легко перевести свой сайт на HTTPS можно через Cloudflare. Сертификат, правда, будет фиг пойми какой, но браузер не ругается (кроме Opera Presto).


    1. asdf404
      03.05.2015 09:22
      +1

      Так они и собираются. Называется Let's Encrypt.


      1. Vilgelm
        03.05.2015 10:09
        +4

        enabling HTTPS for your site will be as easy as installing a small piece of certificate management software on the server

        А более традиционными способами они не собираются выдавать сертификаты? Нет, идея то хорошая, но боюсь она не будет совместима с частью панель управления и другим софтом. Да и хостинги сразу идут лесом.


    1. Mithgol
      03.05.2015 09:42
      +2

      Подозреваю, что после перевода на обязательный HTTPS стоимость сертификации возвысится.

      Типа, куды ж ты денешься, если сайт нужен.


      1. Vilgelm
        03.05.2015 10:11
        +5

        Думаю если она возрастет или останется прежней, то скорее пользователи будут бежать от Firefox к другим браузерам. Ну зачем нужен такой браузер, в котором больше половины сайтов не открывается или работает черти как?
        В конце концов есть Cloudflare с их бесплатным HTTPS.


  1. KOLANICH
    03.05.2015 01:03
    -5

    По-моему, эту деятельность иначе как подрывной не назовёшь. Вместо того чтобы сделать систему разрешений для веб-приложений, аналогичную системе разрешений для мобильных приложений, они (разработчики браузеров и консорциумы) отжимают веб без централизованной pki. То «http 2.0 будет требовать обязательного https, хотя его отсутствие никак не вредит функциям протокола», теперь это… Я не против шифрования, но я против его насильственного насаждения и я против той формы, которую приняло шифрование в вебе.

    Почему они это отжимают? Потому что это НЕ НАШ ВЕБ. НЕ МЫ ЕГО СОЗДАЛИ. НЕ МЫ РАЗРАБОТАЛИ БРАУЗЕРЫ. НЕ МЫ РАЗРАБОТАЛИ ПРОТОКОЛЫ. НЕ МЫ ДОБИЛИСЬ ВНЕДРЕНИЯ НЕКОТОРЫХ СТАНДАРТОВ. НЕ МЫ БЕСПЛАТНО ПОДДЕРЖИВАЕМ БРАУЗЕРЫ И ИХ ИНФРАСТРУКТУРУ (обновления, турбо, бекапы) ДЛЯ ВСЕХ ПОЛЬЗОВАТЕЛЕЙ. Это не наш веб. Это их карманный веб, они его делают на свои деньги и поэтому распоряжаются им по своему усмотрению.


    1. Eklykti
      03.05.2015 07:27
      +3

      > аналогичную системе разрешений для мобильных приложений

      Это типа как хомячки ставят клавиатуру, у которой в пермишшенах полный доступ к интернету и согласие на отправку всех вводимых строк хозяину в еуле? Или калькулятор, требующий отправку смс? Система разрешений работает только для тех пользователей, которые понимают, что они делают, а не для хомячков, вендой приученных тыкать только Далее — Далее — Готово.


      1. KOLANICH
        03.05.2015 10:29
        -2

        >Это типа как хомячки ставят клавиатуру, у которой в пермишшенах полный доступ к интернету и согласие на отправку всех вводимых строк хозяину в еуле?
        Не совсем. Каждое разрешение должно быть возможно индивидуально отозвать прозрачно или непрозрачно для приложения. Разрешения внедряются (разрешения на полный экран, захват мыши, геолокацию и использование оффлайн хранилища тому примером), но через одно место. Вместо того чтобы собрать управление разрешениями в одном апи, они раскидали его по разным апи. Для многих функций вообще нет разрешений, например для getBoundingClientRect, получения размеров текста на canvas, получение картинки с canvas, использования webgl(в TorBrowser для webgl и getImageData есть, но через апи недоступны) или получения данных с датчиков. Почему на мобильных так не сделали — потому что если бы сделали, из стора бы исчезли все приложения a la описанная вами клавиатура, что привеело бы к забрасыванию платформы разрабами, а после — и хомячьём. С вебом так не прокатит.

        >Система разрешений работает только для тех пользователей, которые понимают, что они делают, а не для хомячков, вендой приученных тыкать только Далее — Далее — Готово.
        Решается выставлением ограничений по-умолчанию в «запрещать» и после выводом страшного окна «вебсайт, возможно, вас пытается поиметь. Вебсайт требует разрешение такое-то. Вебсайт аргументирует его необходимость для того-то. Включение этого разрешения позволит сайту делать то-то то-то. Если для осуществления функции сайта по вашему мнению данное разрешение не требуется, не разрешайте его.». А неисправимое хомячьё, которому на всё плевать пусть страдает: до него всеми силами старались донести, а оно ни в какую".


    1. Mixim333
      03.05.2015 13:19
      +1

      > Потому что это НЕ НАШ ВЕБ. НЕ МЫ ЕГО СОЗДАЛИ. НЕ МЫ РАЗРАБОТАЛИ БРАУЗЕРЫ

      — видимо тема «импортозамещения» не только в мозгах наших дЯпутатов и правительства. Если есть паранойя что «это все не наше», так создавайте «свой веб» (только используйте на это личные деньги, а не бюджет), про не наши браузеры — тут вообще плевое дело — скачайте исходники, например, Chromium (https://www.chromium.org/developers/how-tos/get-the-code) и сделайте на его основе «наш браузер» (не забудьте выкинуть «плохой», с вашей точки зрения, код).


  1. JIghtuse
    03.05.2015 08:20
    +3

    Отличная новость. Не повадно будет всяким Билайнам в трафик пользователя вмешиваться.


  1. Athari
    03.05.2015 10:55
    +1

    Чую IPv6, версия 2.0.

    Лет через 10-20 что-нибудь будет заметно, а пока можно спать спокойно, наслаждаясь влезанием в страницы всяких Билайнов.


  1. mayorovp
    03.05.2015 12:39

    И как же теперь на 192.168.0.1 и аналогичные страницы заходить?..

    Сначала Хром, теперь Firefox… Опера наверняка следом за Хромом пойдет, если еще не пошла.

    Неужели моим любимым браузером станет Internet Explorer?


    1. Ivan_83
      04.05.2015 00:52

      Да, видимо они только по сайтам и умеют ходить, а то что есть куча мест где http/1.0 и шифрования не только нет но оно и не предвидется в виду отсутствия необходимости им не ведомо.

      Да и сайтам то многим https нафик не впёрся, даже если сертификаты будут за даром привозить и устанавливать.


      1. qw1
        04.05.2015 14:55

        Придётся использовать два браузера: современный и красивый для сайтов и старенькую рабочую лошадку для администрирования/конфигурирования. Несложно переучиться.


        1. Ivan_83
          06.05.2015 00:34

          Скорее придётся применять патчи перед сборкой либо переехать на форк где этой болезни нет.


          1. qw1
            06.05.2015 00:48

            Тот же firefox сам обновляется из сети. А так придётся по полгода сидеть на дырявых версиях, потому что сложно находить полчаса времени каждые 2 недели, чтобы обновиться, пересобрать, перенести настройки.


            1. Eklykti
              06.05.2015 12:40
              +1

              В генте можно просто положить патч в /etc/portage/patches/www-client/firefox и каждая новая версия будет автоматически собираться с этим патчем.


              1. qw1
                06.05.2015 18:02

                Помню, как-то пробовал сидеть на генте )))
                Каждые сутки оставлять на ночь emerge (-U world) это даже для супер-гиков как-то слишком.


                1. petropavel
                  07.05.2015 11:48
                  +1

                  Хмм, а машина у вас есть? Каждый вечер двигатель перебирать — не слишком?

                  у меня гента уже лет десять как. везде. emerge -U world не запускал еще ни разу


                  1. qw1
                    07.05.2015 13:20

                    Хочется же, чтобы всё было самых актуальных версий. По идее, emerge не должен обновлять то, что не требует обновлений.


            1. Ivan_83
              10.05.2015 15:52
              -1

              Это под виндой.
              Я из портов обновляюсь, пересборкой.

              Желающих использовать фф для работы, где ссл нет и не будет, будет явно дофига, потому и патч будет оперативный и регулярный, скорее всего универсальный для всех ОС.
              На фре его скорее всего вынесут в опции для порта.


              1. qw1
                10.05.2015 18:34

                Лучший вариант будет сделать опцию в about:config, и ничего патчить не придётся.


  1. zenden2k
    03.05.2015 18:22

    Гугл отключает джаву, фирефокс отключает дополнения, теперь запрещает HTTP, доколе мы будем терпеть произвол производителей ПО???


  1. fundorin
    04.05.2015 15:23
    +3

    Мои мечты о том, чтобы слетать в будущее, купить там по дешевке какой-нибудь б\у гаджет и пользоваться им в нашем времени как супер-мега-флагманом разбиваются об вот такие новости. Эх.


  1. Revertis
    05.05.2015 18:57

    Интересно, почему никто из производителей браузеров не придумал для начала при вводе домена, да и при нажатии Ctrl+Enter в адресной строке, лезть сначала на httpS версию сайта, а потом, если на 443-ем порту не отвечают, лезть на 80-й? В таком случае и необходимость HSTS снизилась бы.


    1. JIghtuse
      05.05.2015 19:28

      Потому что на https и http могут находиться разные сервисы (к примеру, домашняя страница и личный owncloud), а пользователь, вероятно, знает, чего хочет.
      Для решения такой проблемы есть дополнения — HTTPS Everywhere, HTTP Nowhere.


      1. Revertis
        08.05.2015 19:31
        -2

        Вот именно это мне и не нравится. Владельцы сайтов слишком вольны в этом плане, и все их действия ведут к тому, что мы сейчас наблюдаем. Нужен порядок, а для этого кто-то должен применить силу.


      1. qw1
        09.05.2015 12:18

        Чтобы зайти на другой сервис, нужно ввести префикс протокола.
        Речь о том, чтобы для адресов без префикса сначала смотреть https.
        Принципиально для случая с разными сервисами ничего не меняется, просто сервис на https становится дефолтным.

        Зато пользователь защищается от MITM. Ведь если он вводит «mail.ru», злоумышленник, контроллирующий канал, может легко перенаправить на какой-нибудь mail-ru.ru и там уже собирать пароли и проксировать на настоящий сервис и пользователь даже ничего не заметит.


  1. nikitasius
    06.05.2015 16:00

    Кстати именно Mozilla могут заявлять о повальном https в отличие от того же гугла, потому что пользователь с FF на любой системе может использовать актуальные и современные шифры.
    Хром же использует системные криптобиблиотеки, по этой причине у пользователей chrome+XP до сих пор не работает https, как должен.