EFF: HTTPS Everywhere wird nicht mehr gebraucht

Das Browserplugin HTTPS Everywhere wird nicht weiterentwickelt, stattdessen sollen Nutzer die browsereigenen HTTPS-Only-Modi verwenden.

Artikel veröffentlicht am ,
Eingestellt wegen Erfolg: Das HTTPS-Everywhere-Plugin wird nicht weiterentwickelt.
Eingestellt wegen Erfolg: Das HTTPS-Everywhere-Plugin wird nicht weiterentwickelt. (Bild: EFF)

Die Electronic Frontier Foundation (EFF) hat angekündigt, die Entwicklung des HTTPS-Everywhere-Plugins bald einzustellen. Ab 2022 werde das Plugin nur noch im Wartungsmodus angeboten, was bedeutet, dass es keine Weiterentwicklung gibt.

Stellenmarkt
  1. Systemingenieur*in Schwerpunkt Konzeption / Entwicklung Software Deployment
    Atruvia AG, Karlsruhe, Münster, München
  2. Mitarbeiter für Konzeption und Qualitätssicherung (m/w/d)
    ADG Apotheken-Dienstleistungsgesellschaft mbH, Regensburg
Detailsuche

Der Grund für den Schritt ist allerdings nicht, dass die EFF die Funktionalität des Plugins für überflüssig hält, sondern dass die wichtigen Browser inzwischen ähnliche Funktionalitäten anbieten, die sogar einen besseren Schutz bieten. Möglich ist das, da heute der Großteil des Webs über HTTPS erreichbar ist.

Das HTTPS-Everywhere-Plugin, das für zahlreiche Browser angeboten wird, sorgt dafür, dass Verbindungen mit Webseiten, die sowohl über HTTP als auch über HTTPS erreicht werden können, immer über HTTPS aufgerufen werden. Dafür liefert das Plugin eine Liste an Hosts mit, die HTTPS unterstützen.

Plugin arbeitete mit voreingestellter Liste von Webseiten

In der Vergangenheit war das nötig, um eine solche Funktion praktikabel zu machen. Allerdings hat es einen offensichtlichen Nachteil: Für Seiten, die nicht in der voreingestellten und manuell gepflegten Liste enthalten sind, gibt es keinen Schutz.

Golem Akademie
  1. Jira für Anwender: virtueller Ein-Tages-Workshop
    10. November 2021, virtuell
  2. C++ Programmierung Basics: virtueller Fünf-Tage-Workshop
    15.–19. November 2021, virtuell
Weitere IT-Trainings

Sowohl Firefox als auch Chrome und Edge haben seit einiger Zeit einen HTTPS-Only-Modus, der anders funktioniert. Hier werden Seiten schlicht standardmäßig über HTTPS aufgerufen; wenn das nicht möglich ist, wird dem Nutzer eine Warnung angezeigt.

Nur nach einer expliziten Bestätigung kann dann eine Seite über unverschlüsseltes HTTP aufgerufen werden. Praktikabel ist eine solche Funktion nur deshalb, weil es heute kaum noch Webseiten gibt, die nicht über HTTPS erreichbar sind. Die EFF empfiehlt Nutzern, künftig diese HTTPS-Only-Modes in Browsern zu aktivieren.

Ein Spezialfall ist Safari. Hier schreibt die EFF, dass bereits standardmäßig Verbindungen über HTTPS genutzt werden, wenn dies verfügbar ist. Das schützt allerdings nicht vor aktiven Angriffen, die ein Upgrade auf HTTPS blockieren. Allerdings: Für Safari gab es das HTTPS-Everywhere-Plugin sowieso nicht.

Wer mit den HTTPS-Only-Settings der Browser unterwegs ist, stößt gelegentlich auch auf Seiten, die eigentlich über HTTPS erreichbar sind, auf Warnungen. Dies liegt meistens an falsch konfigurierten Weiterleitungen. So leiten manche Seiten in bestimmten Fällen erst auf HTTP und dann wieder auf HTTPS um. Das tritt etwa bei manchen Seiten auf, die beim Fehlen eines Slashes am Ende des Pfades dies korrigieren und dabei über den Umweg HTTP umleiten.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Ebenso gibt es gelegentlich Webseiten, die Direktzugriffe auf die www-Subdomain weiterleiten, aber unter der Stammdomain nicht über HTTPS erreichbar sind. Auch das kann zu unerwarteten Warnungen im HTTPS-Only-Modus führen.

Neben dieser clientseitigen Funktionalität gibt es auch für Webseitenbetreiber die Möglichkeit, unverschlüsselte Verbindungen zu unterbinden. Dafür gibt es den Header HTTP Strict Transport Security (HSTS). Mit HSTS kann auch Browsern, die nicht in einem speziellen HTTPS-Only-Modus laufen, signalisiert werden, dass eine Domain nie unverschlüsselt aufgerufen werden soll.

Browser bemühen sich um "HTTPS überall"

Die Browserhersteller bemühen sich seit Jahren, HTTPS zum Standard zu machen. Dafür spricht einiges. HTTPS sorgt nicht nur dafür, dass Daten verschlüsselt übertragen werden, sondern auch dafür, dass die Korrektheit der übertragenen Daten gewährleistet wird und diese nicht unterwegs manipuliert werden können.

Auch die Performance ist kein Argument gegen HTTPS. Überraschenderweise sind verschlüsselte Verbindungen häufig sogar schneller, da dort moderne Features wie HTTP/2 und neuere Kompressionsverfahren zum Einsatz kommen, die in der unverschlüsselten Variante nicht unterstützt werden. Im Vergleich dazu sind die geringen Performancekosten der Verschlüsselung vernachlässigbar.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Rockstar Games
Neue GTA Trilogy läuft auch auf älterer PC-Hardware

Die Grafik der überarbeiteten GTA Trilogy sieht im Video viel besser aus als im Original. Trotzdem muss es keine ganz neue Hardware sein.

Rockstar Games: Neue GTA Trilogy läuft auch auf älterer PC-Hardware
Artikel
  1. Staatstrojaner: Journalist der New York Times mit Pegasus gehackt
    Staatstrojaner
    Journalist der New York Times mit Pegasus gehackt

    Nach mehreren Versuchen wurde ein Journalist der New York Times mit dem NSO-Trojaner Pegasus infiziert. Schützen konnte er sich nicht.

  2. Smartphone-Tarife: Tchibo bietet Jahres-Tarif mit 72 GByte
    Smartphone-Tarife
    Tchibo bietet Jahres-Tarif mit 72 GByte

    In diesem Jahr stehen drei unterschiedliche Jahres-Tarife für Tchibo-Kunden zur Wahl.

  3. Satechi: USB-C-Hub integriert eine externe SSD gleich mit
    Satechi
    USB-C-Hub integriert eine externe SSD gleich mit

    Der Hybrid Multiport Adapter kann per USB-C ein Notebook aufladen und weitere Geräte verbinden. Außerdem ist Platz für eine M.2-SSD.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Speicherprodukte von Sandisk & WD zu Bestpreisen (u. a. Sandisk SSD Plus 2TB 140,99€) • Nintendo Switch OLED Weiß 364,60€ • Epos H3 Hybrid Gaming-Headset 144€ • Apple MacBook Pro 2021 jetzt erhältlich ab 2.249€ • EA-Spiele für alle Plattformen günstiger • Samsung 55" QLED 699€ [Werbung]
    •  /