EFF: HTTPS Everywhere wird nicht mehr gebraucht

Das Browserplugin HTTPS Everywhere wird nicht weiterentwickelt, stattdessen sollen Nutzer die browsereigenen HTTPS-Only-Modi verwenden.

Artikel veröffentlicht am ,
Eingestellt wegen Erfolg: Das HTTPS-Everywhere-Plugin wird nicht weiterentwickelt.
Eingestellt wegen Erfolg: Das HTTPS-Everywhere-Plugin wird nicht weiterentwickelt. (Bild: EFF)

Die Electronic Frontier Foundation (EFF) hat angekündigt, die Entwicklung des HTTPS-Everywhere-Plugins bald einzustellen. Ab 2022 werde das Plugin nur noch im Wartungsmodus angeboten, was bedeutet, dass es keine Weiterentwicklung gibt.

Stellenmarkt
  1. Manager (m/w/d) Engineering Automatisierungstechnik
    CORVENTIS GmbH, Raum Friedrichshafen, Biberach a. d. R., Lindau, Wangen i. A.
  2. Fachinformatiker (m/w/d) für Systemintegration
    Max-Planck-Institut für Psychiatrie, München
Detailsuche

Der Grund für den Schritt ist allerdings nicht, dass die EFF die Funktionalität des Plugins für überflüssig hält, sondern dass die wichtigen Browser inzwischen ähnliche Funktionalitäten anbieten, die sogar einen besseren Schutz bieten. Möglich ist das, da heute der Großteil des Webs über HTTPS erreichbar ist.

Das HTTPS-Everywhere-Plugin, das für zahlreiche Browser angeboten wird, sorgt dafür, dass Verbindungen mit Webseiten, die sowohl über HTTP als auch über HTTPS erreicht werden können, immer über HTTPS aufgerufen werden. Dafür liefert das Plugin eine Liste an Hosts mit, die HTTPS unterstützen.

Plugin arbeitete mit voreingestellter Liste von Webseiten

In der Vergangenheit war das nötig, um eine solche Funktion praktikabel zu machen. Allerdings hat es einen offensichtlichen Nachteil: Für Seiten, die nicht in der voreingestellten und manuell gepflegten Liste enthalten sind, gibt es keinen Schutz.

Golem Akademie
  1. Netzwerktechnik Kompaktkurs
    8.-12. November 2021, online
  2. Linux-Systeme absichern und härten
    8.-10. November 2021, online
  3. CEH Certified Ethical Hacker v11
    8.-12. November 2021, online
Weitere IT-Trainings

Sowohl Firefox als auch Chrome und Edge haben seit einiger Zeit einen HTTPS-Only-Modus, der anders funktioniert. Hier werden Seiten schlicht standardmäßig über HTTPS aufgerufen; wenn das nicht möglich ist, wird dem Nutzer eine Warnung angezeigt.

Nur nach einer expliziten Bestätigung kann dann eine Seite über unverschlüsseltes HTTP aufgerufen werden. Praktikabel ist eine solche Funktion nur deshalb, weil es heute kaum noch Webseiten gibt, die nicht über HTTPS erreichbar sind. Die EFF empfiehlt Nutzern, künftig diese HTTPS-Only-Modes in Browsern zu aktivieren.

Ein Spezialfall ist Safari. Hier schreibt die EFF, dass bereits standardmäßig Verbindungen über HTTPS genutzt werden, wenn dies verfügbar ist. Das schützt allerdings nicht vor aktiven Angriffen, die ein Upgrade auf HTTPS blockieren. Allerdings: Für Safari gab es das HTTPS-Everywhere-Plugin sowieso nicht.

Wer mit den HTTPS-Only-Settings der Browser unterwegs ist, stößt gelegentlich auch auf Seiten, die eigentlich über HTTPS erreichbar sind, auf Warnungen. Dies liegt meistens an falsch konfigurierten Weiterleitungen. So leiten manche Seiten in bestimmten Fällen erst auf HTTP und dann wieder auf HTTPS um. Das tritt etwa bei manchen Seiten auf, die beim Fehlen eines Slashes am Ende des Pfades dies korrigieren und dabei über den Umweg HTTP umleiten.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Ebenso gibt es gelegentlich Webseiten, die Direktzugriffe auf die www-Subdomain weiterleiten, aber unter der Stammdomain nicht über HTTPS erreichbar sind. Auch das kann zu unerwarteten Warnungen im HTTPS-Only-Modus führen.

Neben dieser clientseitigen Funktionalität gibt es auch für Webseitenbetreiber die Möglichkeit, unverschlüsselte Verbindungen zu unterbinden. Dafür gibt es den Header HTTP Strict Transport Security (HSTS). Mit HSTS kann auch Browsern, die nicht in einem speziellen HTTPS-Only-Modus laufen, signalisiert werden, dass eine Domain nie unverschlüsselt aufgerufen werden soll.

Browser bemühen sich um "HTTPS überall"

Die Browserhersteller bemühen sich seit Jahren, HTTPS zum Standard zu machen. Dafür spricht einiges. HTTPS sorgt nicht nur dafür, dass Daten verschlüsselt übertragen werden, sondern auch dafür, dass die Korrektheit der übertragenen Daten gewährleistet wird und diese nicht unterwegs manipuliert werden können.

Auch die Performance ist kein Argument gegen HTTPS. Überraschenderweise sind verschlüsselte Verbindungen häufig sogar schneller, da dort moderne Features wie HTTP/2 und neuere Kompressionsverfahren zum Einsatz kommen, die in der unverschlüsselten Variante nicht unterstützt werden. Im Vergleich dazu sind die geringen Performancekosten der Verschlüsselung vernachlässigbar.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Kia EV 6 im Test
Die Sport-Limousine

Der Kia EV 6 basiert auf einer reinen E-Auto-Plattform und nutzt ein 800-Volt-Batteriesystem. Technik und Design hinterlassen beim Test einen guten Eindruck.
Ein Test von Dirk Kunde

Kia EV 6 im Test: Die Sport-Limousine
Artikel
  1. Tödlicher Verkehrsunfall: Tesla bei angeblichem Autopilot-Crash entlastet
    Tödlicher Verkehrsunfall
    Tesla bei angeblichem Autopilot-Crash entlastet

    Die US-Verkehrssicherheitsbehörde hat den Tesla-Autopiloten im Fall eines tödlichen Unfalls entlastet, bei dem im April 2021 zwei Menschen starben.

  2. Kernnetz: Telekom wechselt Cisco-Router im zentralen Backbone aus
    Kernnetz
    Telekom wechselt Cisco-Router im zentralen Backbone aus

    Die Deutsche Telekom hat einen besseren Cisco-Router in ihrem zentralen Backbone installiert. Der erreicht 260 TBit/s und wirft Fragen zur IT-Sicherheit auf.

  3. Geekbench & GFXBench: Erste Benchmarks zeigen starken Apple M1 Max
    Geekbench & GFXBench
    Erste Benchmarks zeigen starken Apple M1 Max

    Das Apple Silicon schneidet gut ab: Der M1 Max legt sich tatsächlich mit einer Geforce RTX 3080 Mobile und den schnellsten Laptop-CPUs an.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Dualsense PS5-Controller Weiß 57,99€ • Seagate SSDs & HDD günstiger (u. a. ext. HDD 14TB 326,99) • MacBook Pro 2021 jetzt vorbestellbar • World of Tanks jetzt mit Einsteigerparket ausprobieren • Docking-Station für Nintendo Switch 9,99€ • Alternate (u. a. iPhone 12 Pro 512GB 1.269€) [Werbung]
    •  /