HTTPS Everywhere wird eingestellt
von caschy | 5 Kommentare
Vor vielen Jahren war das Protokoll HTTPS (Hypertext Transfer Protocol Secure) noch nicht so weit verbreitet – obwohl es dies grundsätzlich bereits seit 1994 gibt. HTTPS Everywhere versuchte seit 2010, Nutzern zu helfen, HTTPS zu nutzen. Die Browser-Erweiterung bog die standardmäßig genutzte HTTP-Adresse auf die sichere HTTPS-Adresse einer Seite um, sofern vorhanden. Realisiert wird die Erweiterung von der EFF.
Die Electronic Frontier Foundation (EFF) ist eine im Juli 1990 von John Perry Barlow und Mitchell Kapor gegründete nichtstaatliche Organisation mit Sitz in San Francisco, die sich mit den Bürgerrechten im Cyberspace beschäftigt. Ziel ist eine mediale Selbstbestimmung des Bürgers. Die Initiativen der Organisation behandeln Themen wie Zensur im Internet, Überwachung, Software-Patente, Urheberrechte und Tauschbörsen.
Und von der EFF kommen nun Nachrichten zu HTTPS Everywhere. Mittlerweile sei HTTPS fast überall verfügbar und werde auch standardmäßig von den Browser-Anbietern unterstützt. Deshalb bereite sich die EFF auf die Abschaffung der HTTPS-Everywhery-Erweiterung vor. Nach dem Ende dieses Jahres wird die Erweiterung bis 2022 im „Wartungsmodus“ sein. Man wisse, dass viele Nutzer dieses Tool installiert haben, und man möchte den Partnern und Nutzern die nötige Zeit für die Umstellung geben. Aus diesem Grunde gibt es im Abkündigungsbeitrag eine Information darüber, wie man bei gängigen Browsern die nativen HTTPS-Funktionen einstellt.
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Wird geladen ...
Vernünftig. Je weniger Addons (zumindest für solche sicherheitsrelevanten Dinge) desto besser.
Vorwarnung: Wenn man Browser wie in der Anleitung anweist, immer HTTPS zu verwenden, sollte man sich darauf gefasst machen, dass viele Weiterleitungs-Domains/URL-Shortener keine oder ungültige Zertifikate verwenden. Das ist natürlich nicht der Fehler der Browser, die machen alles korrekt. Aus irgendeinem Grund ist es aber bei vielen, auch großen, Website-Anbietern noch nicht angekommen, dass man SSL für alle Domains benötigt.
Beispiel gefällig? post.de — ihres Zeichens eine einfache Weiterleitungs-Domain auf deutschepost.de — liefert ein Zertifikat aus, das zwar zwei Dutzend Domains aber ausgerechnet „post.de“ nicht in den SANs enthält und konsequent in den Browsern dann einen HTTPS-Fehler wirft.
post.de wird bei mir ohne Meldung im Firefox anstandslos auf deutschepost.de weitergeleitet.
Und ich nutze keine derartige Erweiterung wie die im Artikel genannte.
Tja, dann hast du im Firefox den HTTPS-only-Modus aber auch nicht wie im verlinkten Artikel beschrieben aktiviert und rufst post.de immer noch über http-ohne-s ab. Oder die Weiterleitung wurde in deinem Browser gecacht.
Ein Aufruf von https://post.de/ muss zwangsläufig einen Fehler ausgeben, das SSL-Zertifikat, das derzeit auf post.de verwendet wird, schließt die Domain post.de nachweislich nicht ein.
Aber eben auch https://post.de ? Das Zertifikat stimmt nicht. Kann es nachvollziehen (Chrome).