Original-URL des Artikels: https://www.golem.de/news/verschluesselung-mozillas-http-abschied-wird-konkreter-1505-113868.html    Veröffentlicht: 04.05.2015 12:45    Kurz-URL: https://glm.io/113868

Verschlüsselung

Mozillas HTTP-Abschied wird konkreter

Der geplante volle Umstieg von HTTP auf das verschlüsselte HTTPS ist bei Mozilla nun offiziell. Die Umsetzung könnte Jahre dauern und soll zunächst nur für neue Funktionen gelten. Technisch solle dem aber nichts entgegenstehen, versichert Mozilla.

Nachdem der Firefox-Sicherheitschef Richard Barnes vor wenigen Wochen anregte, in Zukunft auf das unverschlüsselte HTTP zu verzichten, hat Barnes diesen Plan in Abstimmung mit der Community nun auch offiziell verkündet. Demnach soll der vollständige Wechsel hin zu HTTPS in zwei Schritten umgesetzt werden.

Zuerst soll ein Zeitpunkt festgelegt werden, ab dem alle neuen Funktionen in dem Browser nur noch für verschlüsselte Webseiten bereitstehen. Langfristig könnten darüber hinaus aber auch bestehende Funktionen für unverschlüsselte Webseiten beschnitten werden. In den FAQ (PDF) zu den Plänen heißt es aber, das, "was auch immer eure Webseite heute macht, wird auch noch in Monaten oder Jahren funktionieren".

Allzu überstürzt wird Mozilla dabei also nicht vorgehen. Barnes betont auch, dass insbesondere das Einschränken bestimmter Funktionen immer eine Abwägung zwischen Sicherheit und Webkompatibilität sei. Die Änderungen sollen auch rechtzeitig angekündigt werden, so dass die Betreiber von Webseiten entsprechend reagieren können. Zudem will das Team den Prozess eng begleiten.

Möglich sei ebenfalls, dass die Herabstufung von HTTP-Verbindungen bei bestimmten Funktionen keinen Totalverzicht bedeuten werde, sondern dies sanfter erfolge. So könnten etwa dauerhafte Ausnahmen unterbunden werden, einmalige und vom Nutzer bestätigte Zugriffe aber weiterhin erlaubt sein, wie zum Beispiel bereits beim Zugriff auf Kamera und Mikrofon.

HTTPS kein Problem

In den genannten FAQ versucht Mozilla auch vielen Einwänden gegen HTTPS zu begegnen, die meist auf Missverständnissen beruhen. So sind die Folgen für die Geschwindigkeit der Webseiten fast vernachlässigbar. Ebenso garantiere HTTPS nicht nur das Verbergen von Geheimnissen wie Passwörtern, sondern verhindere auch bei öffentlich zugänglichen Webseiten die Manipulation der Verbindungen und damit der Inhalte.

Außerdem seien die für HTTPS notwendigen Zertifikate mittlerweile bei einigen Anbietern und Hostern kostenlos verfügbar. Mit der Initiative Let's Encrypt will Mozilla letztlich auch daran arbeiten, dass dies so bleibt.  (sg)


Verwandte Artikel:
ROBOT-Angriff: Arbeitsagentur nutzt uralte Cisco-Geräte   
(09.03.2018, https://glm.io/133258 )
Juli 2018: Chrome bestraft Webseiten ohne HTTPS   
(09.02.2018, https://glm.io/132689 )
Verschlüsselung: Auch Mozilla will HTTPS zum Standard machen   
(14.04.2015, https://glm.io/113489 )
CNNIC: Google wirft chinesische Zertifizierungsstelle raus   
(02.04.2015, https://glm.io/113301 )
Librem 5: Purism-Smartphone bekommt Smartcard für Verschlüsselung   
(09.03.2018, https://glm.io/133248 )

© 1997–2020 Golem.de, https://www.golem.de/