image

Mozilla voorziet Firefox 76 van https-only mode

woensdag 25 maart 2020, 17:12 door Redactie, 9 reacties

Mozilla zal Firefox 76 die voor mei van dit jaar gepland staat voorzien van een optionele https-only mode die websites alleen nog via https laadt. Dat meldt webontwikkelaar Sören Hentzschel en blijkt ook uit een melding op Bugzilla.

Wanneer gebruikers in deze mode in de adresbalk een domein invoeren zal Firefox het domein automatisch via https laden. Voert de gebruiker een url in die met http begint, dan verandert Firefox het protocol automatisch naar https. Ook zal de browser alle content op websites die via http wordt aangeboden automatisch via https proberen te laden. De feature werkt alleen als de website en overige content ook via https wordt aangeboden.

Inmiddels maken de meeste websites gebruik van https. In het geval een website toch nog alleen via http bereikbaar is of content via http aanbiedt zullen die in de https-only mode niet worden geladen. Alleen websites en content toegankelijk via https zullen in de https-only mode werken. De feature is nu in de meest recente versie van Firefox Nightly te testen en zal in de definitieve versie van Firefox 76 aanwezig zijn, die voor 5 mei gepland staat.

Image

Reacties (9)
25-03-2020, 20:04 door [Account Verwijderd]
Op zich is dit een hartstikke goede actie. Maar is het niet zo dat http/2 en http/3 niet hetzelfde doen?
25-03-2020, 22:58 door Anoniem
Door donderslag: Op zich is dit een hartstikke goede actie. Maar is het niet zo dat http/2 en http/3 niet hetzelfde doen?
Er is geen strikte vereiste om gebruik te maken van TLS bij het gebruik van http/2, al hebben alle grote browser besloten om dit wel te vereisten. Het gebruik van http/2 wordt echter pas afgesproken in de TLS handshake, via de ALPN extensie. Het gebruik van http/2 is dus nog niet bekend op het moment dat je moet kiezen tussen een http (80/tcp) of https (443/tcp) verbinding. Daarmee is het ook niet mogelijk om de http downgrade aanvallen te voorkomen door het gebruik van http/2.

De naam http/3 verwijst naar het gebruik van http over QUIC. Daar speelt echter een vergelijkbaar probleem dat de beschikbaarheid bekend gemaakt wordt via Alt-Svc headers van de website. Net als bij http/2 is dit niet voor het opzetten van een eerste connectie te bepalen.

Op dit moment is de enige manier om https goed af te wringen het gebruik van HSTS headers en je website op de HSTS preload list te plaatsen. Op termijn zal mogelijk het gebruik van HTTPSVC DNS records al in de DNS request mee gegeven kunnen worden dat een website HTTPS ondersteund. (Al is het de vraag of de webbrowsers DNS wel als vertrouwd zien, anders kan het nog niet afgedwongen worden.)
25-03-2020, 23:52 door Erik van Straten
Door donderslag: Op zich is dit een hartstikke goede actie. Maar is het niet zo dat http/2 en http/3 niet hetzelfde doen?
Nee.
26-03-2020, 07:50 door [Account Verwijderd] - Bijgewerkt: 26-03-2020, 07:50
Door Erik van Straten:
Door donderslag: Op zich is dit een hartstikke goede actie. Maar is het niet zo dat http/2 en http/3 niet hetzelfde doen?
Nee.
Dank je wel voor jouw eerlijke en uitgebreide antwoord. Ikzelf zou het niet beter kunnen zeggen.
26-03-2020, 08:50 door The FOSS
Door Erik van Straten:
Door donderslag: Op zich is dit een hartstikke goede actie. Maar is het niet zo dat http/2 en http/3 niet hetzelfde doen?
Nee.

Dit behoeft enige toelichting want donderslag heeft met zijn niet-zin een waar kunstwerkje van verwarring gewrocht:

...zo dat http/2 en http/3 hetzelfde doen?

nee (neem ik aan)

...Maar is het niet zo dat http/2 en http/3 niet hetzelfde doen?

ja of nee ?
26-03-2020, 08:58 door Erik van Straten - Bijgewerkt: 26-03-2020, 09:13
Door donderslag:
Door Erik van Straten:
Door donderslag: Op zich is dit een hartstikke goede actie. Maar is het niet zo dat http/2 en http/3 niet hetzelfde doen?
Nee.
Dank je wel voor jouw eerlijke en uitgebreide antwoord. Ikzelf zou het niet beter kunnen zeggen.
Ok, dan de enige uitleg die jij lijkt te begrijpen: als iets niet werkt zoals verwacht is dat de schuld van Microsoft en van karma4. Vraag maar aan jouw gelijkgezinde vriendjes op deze site.

Mensen die niet meehelpen deze site te verzieken geef ik graag eerlijke en uitgebreide antwoorden, voor zover ik verstand heb van het onderwerp.
26-03-2020, 09:09 door Anoniem
Door donderslag: Op zich is dit een hartstikke goede actie. Maar is het niet zo dat http/2 en http/3 niet hetzelfde doen?

Alle grote browsers (Firefox,[37] Chrome, Safari, Opera, IE, Edge) zullen http/2 alleen ondersteunen als de website ook tls gebruikt , ofwel tls word niet geforceerd, maar niet tls sites kunnen niet gebruik maken van http/2 functies.

HTTP/3 heeft dezelfde functies als HTTP.2, maar maakt exclusief gebruik van de QUICK protocol (web over udp)
26-03-2020, 09:18 door [Account Verwijderd]
Door Erik van Straten:
Door donderslag:
Door Erik van Straten:
Door donderslag: Op zich is dit een hartstikke goede actie. Maar is het niet zo dat http/2 en http/3 niet hetzelfde doen?
Nee.
Dank je wel voor jouw eerlijke en uitgebreide antwoord. Ikzelf zou het niet beter kunnen zeggen.
Ok, dan de enige uitleg die jij lijkt te begrijpen: als iets niet werkt zoals verwacht is dat de schuld van Microsoft en van karma4. Vraag maar aan jouw gelijkgezinde vriendjes op deze site.

Mensen die niet meehelpen deze site te verzieken geef ik graag eerlijke en uitgebreide antwoorden, voor zover ik verstand heb van het onderwerp.
Goed bezig!
29-03-2020, 13:20 door Anoniem
Doe derhalve de test hier: https://www.cdn77.com/tls-test
of met de tools hier: https://geekflare.com/ssl-test-certificate/
En blijf hier liever weg: htxps://click.linksynergy.com/deeplink?id=jf7w44yEft4&mid=39197&murl=https%3A%2F%2Fwww.udemy.com%2Ftopic%2Fssltls%2F

luntrus
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.