過去XNUMX年間にWebサイトをHTTPからHTTPSに変換することは、最も成功したもののXNUMXつとして数える必要があります 静かな セキュリティのアップグレードにより、Webブラウジングに影響が及ぶ。
HTTPSサイトを使用すると、ブラウザとサイトが暗号化された接続を確立します。これは、ISP、不正なWi-Fiアクセスポイント、または悪意のあるトラフィックのコンテンツを監視しようとしている他の人によってスヌーピングできません。
それはまだ普遍的ではありませんが、HTTPに固執するGoogleダウングレードサイトや人気のあるブラウザーなどの検索エンジンを備えています それらを「安全でない」とマークする、暗号化されていないWeb接続は確実に絶滅に向かっています。
言及する価値のあるHTTPSセキュリティの警告がいくつかありますが、それらに到達する前に、MozillaのFirefoxがXNUMX月の バージョン76, HTTPS専用モードで閲覧するオプションを提供する.
現時点ではデフォルトではなく、オンにすることができるオプションのみですが、過去がガイドである場合、最終的には オフ 将来のリリースで。
これはおそらく、業界がHTTPサイトの最後の数パーセントを強制的にオフラインにする計画であり、ユーザーがそもそもそれらを閲覧することを困難にします。
それによると、 提供される簡単な説明、ユーザーがHTTPSを提供していないサイトにアクセスすると、必要に応じて続行するオプションが表示されます。 ユーザーが設定を上書きすることに慣れていれば、それは明らかに障害点であるため、それもおそらく時間の経過とともに消えることでしょう。
プレーンHTTPの衰退を考えると、なぜこれが必要なのか疑問に思われるかもしれません。 簡単な答えは、ブラウザがHTTPにしがみつく少数のサイトに到達しないようにブロックし、状況によっては、小さいながらももっともらしいセキュリティリスクを排除することです。
別の問題点は、ユーザーが自分のアドレスバーにHTTPSを入力するだけでよいことです。 本当ですが、見落とされがちな場合もあります(たとえば、悪意のあるHTTPリンクをクリックするなど)。 HTTPSは、ユーザーが注意を払うために覚えておかなければならないものであってはなりません。
混合コンテンツはどうですか?
これは、サイトがドメインレベルでHTTPSを使用する場所ですが、HTTPを介してフェッチされる画像、JavaScript、オーディオ、ビデオなどでページを埋めます。 これにより、HTTPSによる適切な作業を取り消す新しい中間者セキュリティリスクが発生します。
これは古代の問題です。ブラウザは混合コンテンツについて何年も警告を発しており(Firefoxでは、現在、赤い斜線が付いた灰色の南京錠です)、3.0.2年のバージョン1997までのInternet Explorerの不可解な通知があります。
Firefox 76の答えは、混合コンテンツをHTTPSにアップグレードするか、単にそれらのロードをブロックすることです。 この問題がまだ残っているサイトでは、通常はそのようなコンテンツによって埋められるギャップが発生する可能性があり、少なくともWebサイトの所有者が問題を簡単に確認できるようになります。
注意点…
もちろん、ユーザーは、Firefoxで、混合コンテンツの制御を含む上記の操作を、 どこでもHTTPS プラグイン。 これをFirefoxに統合すると、この機能は、個別の機能としてではなく、ブラウザの一部として更新および保守されるものに変わります。これは、オプションのブラウザのセキュリティおよびプライバシー機能の多くがたどったパスに従います。
また、HTTPS接続をデフォルトにすることは良いことですが、悪意のある行為者に対する魔法の力場ではないことも繰り返し述べておく必要があります。
この点についてはまだ誤解があり、公式の助言などには、それが最も期待されていません。 たとえば、最近セキュリティブロガーのBrian Krebsが 次のメッセージを発見しました 米国国勢調査局のウェブサイトに埋葬された:
HTTPS://は、公式Webサイトに接続していること、および提供する情報が暗号化され、安全であることを保証します。
情報が暗号化されることについてのビットは本当ですが、HTTPSは公式Webサイトに接続していることを保証しません。
最近のネイキッドセキュリティの記事で説明されているように、 HTTPSも詐欺師に非常に人気があります 偽のウェブサイトを実行している。 サイトがHTTPSを使用しているからといって、それが 良い サイト。
TLS 1.0および1.1が猶予されました…
MozillaのHTTPSセキュリティに対する熱意のささいな皮肉は、今月初めに発表した後のことです。 そのFirefox 74 HTTPSを支えるプロトコルの古いバージョンであるTLS 1.0と1.1のサポートをようやく廃止しました。 会社はサポートを回復することを後で決定しました。 同社は当時説明しました:
COVID19情報を共有する重要な政府のサイトへのアクセスをより有効にするために、不確定な期間、変更を元に戻しました。
プライバシーとセキュリティでさえ、実際のイベントによって制限される可能性があります。
