HTTPS Only: Firefox erzwingt verschlüsselte Verbindungen

Sicherheitsbewusste Nutzer von Firefox können künftig bestimmen, dass ihr Browser rigoros HTTPS bevorzugt und ausschließlich verschlüsselte Verbindungen zu Servern herstellt. Geplant ist diese optionale Funktion für die kommende Version 76 des Browsers. Um den HTTPS-Only-Modus zu aktivieren, müssen die Nutzer zunächst in der Browser-Konfiguration (about:config) den Wert von dom.security.https_only_mode auf true ändern. Anschließend ergänzt Firefox eingetippte Adressen ohne Protokoll automatisch um ein vorangestelltes https://.

Wenn der Nutzer eine URL mit http:// eintippt, wechselt Firefox automatisch auf https://. Auch alle Sub-Ressourcen versucht der Browser verschlüsselt zu laden, berichtet der Mozilla-Experte Sören Hentzschel in seinem Blog. Praktisch also, wenn auf Webseiten etwa unverschlüsselte Widgets (also etwa Skripte) von externen Anbietern eingebunden sind. Mit dem Vorgehen schützt Firefox seine Nutzer besser vor Mixed-Content. Schlägt eine HTTPS-Verbindung fehl, weil der Server das Protokoll nicht unterstützt, soll es keinen Plan B geben: Die Verbindung kommt dann schlicht nicht zustande. Diese Strenge sei eine bewusste Entscheidung, erklärt Hentzschel. Nicht umsonst heißt der Modus "HTTPS Only".

HTTPS ist Standard

HTTPS zu bevorzugen, ist keine schlechte Idee, schließlich werden bereits 82 Prozent der weltweit aufgerufenen Webseiten über HTTPS aufgerufen – in den USA sind es sogar 91 Prozent. Die Zahlen stammen aus den Telemetriedaten von Firefox. Die stabile Fassung von Firefox 76 soll nach derzeitigem Stand am 5. Mai 2020 erscheinen. Allerdings haben Google und Microsoft wegen der Corona-Krise angekündigt, ihre Browser-Updates zu verschieben. Das kann auch noch bei Firefox passieren. Der HTTPS-Only-Modus kann schon jetzt in der unfertigen Nightly-Fassung von Firefox getestet werden. (dbe)