Mozilla will HTTP ausrangieren

Nach einer hitzigen Debatte innerhalb der Mozilla-Entwicklergemeinde hat Sicherheitschef Richard Barnes nun offiziell im Mozilla-Blog verkündet, dass Mozilla das unsichere, unverschlüsselte HTTP-Protokoll in Zukunft nicht mehr unterstützen will. Zunächst sollen unverschlüsselt übertragenen Inhalten etwa neue Firefox-Funktionen vorenthalten bleiben, langfristig aber auch bestehende Features nur noch sicheren Webseiten zur Verfügung stehen. Ziel sei es, die Webseitenbetreiber zum Umstieg auf HTTPS zu bewegen und dadurch das Netz sicherer zu machen.

Einen konkreten Zeitplan gibt es dafür bislang noch nicht. Wann Firefox und Thunderbird tatsächlich Verschlüsselung zum bevorzugten Standard erheben werden bleibt daher abzuwarten. Bisher bestehende Webseiten würden laut einer nachträglich veröffentlichen FAQ (PDF) unverändert noch "Monate oder Jahre" im Firefox funktionieren. Der Umstieg werde langfristig verfolgt und der Wegfall von Funktionen rechtzeitig ankündigt werden, damit sich die Seitenbetreiber darauf einstellen können. Erstmal soll sich die Community auf einen Zeitpunkt einigen, ab dem neue Funktionen nur noch sichere Webseiten nutzen dürfen und welche davon überhaupt als "neu" eingestuft werden.

So sei es denkbar, unsicheren Webseiten weiterhin CSS und andere Rendering-Funktionen zu erlauben, aber den Zugriff auf neue Hardwarefunktionen zu beschränken. Später sollen dann auch bestehende Funktionen eingeschränkt werden, falls sie ein Risiko für Sicherheit und Privatsphäre darstellen. Dabei seien auch sanftere Abstufungen möglich. Schon heute könnten unverschlüsselt übertragene Webseiten keine dauerhaften Erlaubnis für den Zugriff auf Kamera und Mikrofon erlangen. Die Verwendung von HTTP-URIs soll weiterhin möglich bleiben. Sie würden in Zukunft etwa mit Hilfe von HSTS automatisch zu HTTPS-Anfragen "übersetzt", wenn die Webseite grundsätzlich verschlüsselte Anfragen unterstützt. Ältere Inhalte müssten so nicht zwangsläufig angepasst werden.

Obwohl zahlreiche Verbände und Behörden den Gebrauch von HTTPS empfehlen, sind viele Seiten bislang nur ganz oder teilweise unverschlüsselt erreichbar. Die Browser-Entwickler bemühen sich verstärkt um sichere Übertragung, wenn auch nicht immer auf Anhieb mit Erfolg: Im Firefox musste zuletzt die opportunistische Verschlüsselung wieder deaktiviert werden.

In der FAQ geht Mozilla auf einige der möglichen Probleme bei einer Umsetzung ein. Der weitreichenden Probleme mit den Zertifizierungsstellen (CA) sei man sich zwar durchaus bewusst, das System als solches funktioniere jedoch in den meisten Bereichen. Es gebe zudem genügend kostenlose Dienste, die auch kleinen Webseiten ein Zertifikat und damit eine abgesicherte und verschlüsselte Übertragung ermöglichten. Dass selbst-signierte Zertifikate vom Firefox als verdächtig eingestuft werden und daher äußerst umständlich sowie für unerfahrene Nutzer abschreckend gehandhabt werden, sei nicht zu vermeiden. Von den meisten Nutzern könne nicht erwartet werden, Zertifikate selber korrekt zu identifizieren. Vorschläge für einen besseren Umgang damit nehme man aber gerne entgegen. (asp)