EFF: HTTPS Everywhere wird nicht mehr gebraucht

Das Browserplugin HTTPS Everywhere wird nicht weiterentwickelt, stattdessen sollen Nutzer die browsereigenen HTTPS-Only-Modi verwenden.

Artikel veröffentlicht am ,
Eingestellt wegen Erfolg: Das HTTPS-Everywhere-Plugin wird nicht weiterentwickelt.
Eingestellt wegen Erfolg: Das HTTPS-Everywhere-Plugin wird nicht weiterentwickelt. (Bild: EFF)

Die Electronic Frontier Foundation (EFF) hat angekündigt, die Entwicklung des HTTPS-Everywhere-Plugins bald einzustellen. Ab 2022 werde das Plugin nur noch im Wartungsmodus angeboten, was bedeutet, dass es keine Weiterentwicklung gibt.

Stellenmarkt
  1. Referent Kosten- und Leistungsrechnung (m/w/d)
    Bundesgesellschaft für Endlagerung mbH (BGE), Peine
  2. IT Systemadministrator/in
    Bundesamt für Familie und zivilgesellschaftliche Aufgaben, Köln
Detailsuche

Der Grund für den Schritt ist allerdings nicht, dass die EFF die Funktionalität des Plugins für überflüssig hält, sondern dass die wichtigen Browser inzwischen ähnliche Funktionalitäten anbieten, die sogar einen besseren Schutz bieten. Möglich ist das, da heute der Großteil des Webs über HTTPS erreichbar ist.

Das HTTPS-Everywhere-Plugin, das für zahlreiche Browser angeboten wird, sorgt dafür, dass Verbindungen mit Webseiten, die sowohl über HTTP als auch über HTTPS erreicht werden können, immer über HTTPS aufgerufen werden. Dafür liefert das Plugin eine Liste an Hosts mit, die HTTPS unterstützen.

Plugin arbeitete mit voreingestellter Liste von Webseiten

In der Vergangenheit war das nötig, um eine solche Funktion praktikabel zu machen. Allerdings hat es einen offensichtlichen Nachteil: Für Seiten, die nicht in der voreingestellten und manuell gepflegten Liste enthalten sind, gibt es keinen Schutz.

Golem Karrierewelt
  1. Deep-Dive Kubernetes – Observability, Monitoring & Alerting: virtueller Ein-Tages-Workshop
    10.11.2022, Virtuell
  2. Adobe Photoshop Aufbaukurs: virtueller Zwei-Tage-Workshop
    06./07.10.2022, Virtuell
Weitere IT-Trainings

Sowohl Firefox als auch Chrome und Edge haben seit einiger Zeit einen HTTPS-Only-Modus, der anders funktioniert. Hier werden Seiten schlicht standardmäßig über HTTPS aufgerufen; wenn das nicht möglich ist, wird dem Nutzer eine Warnung angezeigt.

Nur nach einer expliziten Bestätigung kann dann eine Seite über unverschlüsseltes HTTP aufgerufen werden. Praktikabel ist eine solche Funktion nur deshalb, weil es heute kaum noch Webseiten gibt, die nicht über HTTPS erreichbar sind. Die EFF empfiehlt Nutzern, künftig diese HTTPS-Only-Modes in Browsern zu aktivieren.

Ein Spezialfall ist Safari. Hier schreibt die EFF, dass bereits standardmäßig Verbindungen über HTTPS genutzt werden, wenn dies verfügbar ist. Das schützt allerdings nicht vor aktiven Angriffen, die ein Upgrade auf HTTPS blockieren. Allerdings: Für Safari gab es das HTTPS-Everywhere-Plugin sowieso nicht.

Wer mit den HTTPS-Only-Settings der Browser unterwegs ist, stößt gelegentlich auch auf Seiten, die eigentlich über HTTPS erreichbar sind, auf Warnungen. Dies liegt meistens an falsch konfigurierten Weiterleitungen. So leiten manche Seiten in bestimmten Fällen erst auf HTTP und dann wieder auf HTTPS um. Das tritt etwa bei manchen Seiten auf, die beim Fehlen eines Slashes am Ende des Pfades dies korrigieren und dabei über den Umweg HTTP umleiten.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Ebenso gibt es gelegentlich Webseiten, die Direktzugriffe auf die www-Subdomain weiterleiten, aber unter der Stammdomain nicht über HTTPS erreichbar sind. Auch das kann zu unerwarteten Warnungen im HTTPS-Only-Modus führen.

Neben dieser clientseitigen Funktionalität gibt es auch für Webseitenbetreiber die Möglichkeit, unverschlüsselte Verbindungen zu unterbinden. Dafür gibt es den Header HTTP Strict Transport Security (HSTS). Mit HSTS kann auch Browsern, die nicht in einem speziellen HTTPS-Only-Modus laufen, signalisiert werden, dass eine Domain nie unverschlüsselt aufgerufen werden soll.

Browser bemühen sich um "HTTPS überall"

Die Browserhersteller bemühen sich seit Jahren, HTTPS zum Standard zu machen. Dafür spricht einiges. HTTPS sorgt nicht nur dafür, dass Daten verschlüsselt übertragen werden, sondern auch dafür, dass die Korrektheit der übertragenen Daten gewährleistet wird und diese nicht unterwegs manipuliert werden können.

Auch die Performance ist kein Argument gegen HTTPS. Überraschenderweise sind verschlüsselte Verbindungen häufig sogar schneller, da dort moderne Features wie HTTP/2 und neuere Kompressionsverfahren zum Einsatz kommen, die in der unverschlüsselten Variante nicht unterstützt werden. Im Vergleich dazu sind die geringen Performancekosten der Verschlüsselung vernachlässigbar.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Ryzen 7950X/7700X im Test
Brachialer Beginn einer neuen AMD-Ära

Nie waren die Ryzen-CPUs besser: extrem schnell, DDR5-Speicher, PCIe Gen5, integrierte Grafik. Der (thermische) Preis dafür ist jedoch hoch.
Ein Test von Marc Sauter und Martin Böckmann

Ryzen 7950X/7700X im Test: Brachialer Beginn einer neuen AMD-Ära
Artikel
  1. Smart-TV: Samsung findet Lizenznehmer für Tizen
    Smart-TV
    Samsung findet Lizenznehmer für Tizen

    Auch in Europa sollen Smart-TVs mit Tizen auf den Markt kommen, die nicht von Samsung stammen.

  2. Wirtschaftskrieg: US-Regierung und Tiktok verhandeln Einigung
    Wirtschaftskrieg
    US-Regierung und Tiktok verhandeln Einigung

    Die Biden-Regierung und Tiktok-Eigner Bytedance suchen nach einem Kompromiss. Reaktionen aus den USA lassen aber Zweifel daran aufkommen.

  3. Das System E-Mail: Schritt für Schritt vom Sender zum Empfänger
    Das System E-Mail
    Schritt für Schritt vom Sender zum Empfänger

    E-Mail verhalf dem Internet zum Durchbruch, als es noch Arpanet hieß. Zeit für einen Blick auf die Hintergründe dieses Systems - nebst Tipps für einen eigenen Mailserver.
    Von Florian Bottke

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • MindStar (Gigabyte RTX 3060 Ti 522€, Azza Storm Big Tower 99€) • CyberWeek: PC-Zubehör, Werkzeug & Co. • Günstig wie nie: Gigabyte RX 6900 XT 864,15€, MSI RTX 3090 1.159€, Fractal Design RGB Tower 129,90€ • Thrustmaster T300 RS GT 299,99€ [Werbung]
    •  /