HTTPS wieder um etwas stärker: Neue Funktionen in Firefox nur verschlüsselt

19.03.2018 | Petra Alm

Die Mozilla-Organisation hat im Januar bekanntgemacht, dass neue Webelemente in dessen Browser nur in dem Fall implementiert (eingebaut) werden können, wenn sie über HTTPS geliefert werden. Welche Beweggründe stehen hinter dieser Maßnahme und womit müssen Sie bei der Vorbereitung von neuen Funktionen und Standards Ihres Webs für Firefox rechnen?

Heutige Webs dienen nicht mehr nur zum Surfen, zum Anschauen des Seiteninhalts (Lesen von Texten). Sie ermöglichen uns zum Beispiel auf dem Chat des Kundensupports zu kommunizieren, mit unserer Zustimmung unseren Standort zu identifizieren – zum Beispiel wegen der Wettervorhersage – oder online Zahlungen aufzugeben. Alle diesen Funktionen sollten uns die Arbeit mit besuchten Websites angenehmer und einfacher machen, auf der anderen Seite sammeln sie jedoch dadurch sensible Daten, welche vor Missbrauch abgesichert werden müssen. Deshalb hat sich Firefox entschieden, die Bedingung der sog. secure contexts einzuführen.

Praxisbezogen bedeutet diese Regel, dass alle neuen Funktionen, Standards und Elemente des Webs von dem Server des Seitenbetreibers verschlüsselt geliefert werden müssen. Sollte es dazu nicht kommen, wird für den Endnutzer das Element nicht zugänglich sein. Einfach gesagt handelt es sich also um eine flächendeckende Ausstattung der Website mit dem Protokoll HTTPS. Es gehören hier natürlich auch „verdeckte“ Technologien dazu, die für die Nutzer von außen nicht sichtbar sind, aber die auch trotzdem den Nutzerkomfort erhöhen. Konkret können wir zum Beispiel solche Eigenschaften erwähnen, die unter die Sprachen von JavaScript, CSS oder das Protokoll http gehören. Wie ein neuer HTTP Header.

Auch hier gilt, dass jede Regel ihre Ausnahme hat – sollte die Umleitung auf das verschlüsselte Protokoll angesichts des Charakters und Funktion des beurteilten Elements zu kompliziert sein, wird ein solcher Kandidat einen „Passierschein“ erhalten. Einzeln werden somit zum Beispiel Schlüsselwörter für Farben beurteilt. Sollte die Nutzung von HTTP in solchen Fällen umstritten sein, wird die Verschlüsselung bei der geprüften Eigenschaft nicht erforderlich sein. Die bereits implementieren Technologien sind von der neuen Maßnahme ebenfalls nicht betroffen, somit müssen sie nicht nachträglich auf HTTPS umgeleitet werden. Und sollte das nicht abgesicherte Element von anderen Browsern angenommen werden, wird es ebenfalls von Mozilla anerkannt.

Diese 100% Abdeckung des Webs mit Verschlüsselung macht Sinn – schützt sie doch den wichtigsten Teil der Internetkommunikation – den Nutzer. Außerdem entspricht sie der Inklination der online Welt zur Verschlüsselung und dem Abschied von http. Und nicht zuletzt ist Mozilla mit dieser Regel als das erste Unternehmen gekommen – Chrome hat die Pflicht von restrictive contexts bereits im Juli des letzten Jahres angekündigt.

Eine detaillierte Übersicht der betroffenen Elemente finden Sie hier.

P.S. Ganz neu hat Mozilla die HTTPS-Regel auch für die Application Cache Funktion eingeführt. Websites werden dank ihr auch offline laufen, werden schneller reagieren und der Server wird weniger belastet...


Petra Alm
Spezialistin für TLS-Zertifikate
DigiCert TLS/SSL Professional
e-mail: info(at)sslmarket.de