HTTPS opět silnější: Nové funkce ve Firefoxu už jedině šifrovaně

19. 2. 2018 | Jindřich Zechmeister

Společnost Mozilla v lednu oznámila, že nové webové prvky budou moci být do jejího prohlížeče implementovány pouze v případě, že poběží přes HTTPS. Jaká motivace stojí za tímto rozhodnutím a s čím je třeba při přípravě nových funkcí a standardů vašeho webu pro Firefox počítat?

Dnešní weby již neslouží pouze k surfování, k prohlížení obsahu. Umožňují nám například komunikovat na chatu zákaznické podpory, s naším svolením vyhodnocovat naši polohu  - například pro zjištění počasí - či zadávat online platby. Všechny tyto funkce nám mají práci s navštívenými stránkami zpříjemnit a zjednodušit, zároveň však sbírají citlivá data, která je třeba zabezpečit před zneužitím. Proto se Firefox rozhodl zavést podmínku takzvaných secure contexts.

V praxi toto pravidlo znamená, že všechny nové funkce, standardy a prvky webu budou muset být serverem provozovatele dodávány v šifrované podobě. Nebude-li tomu tak, nebude uživateli prvek dostupný. Jednoduše řečeno se tedy jedná o celoplošné pokrytí webové stránky protokolem HTTPS. Patří sem samozřejmě i „skryté“ technologie, které nejsou pro uživatele pozorovatelné zvnějšku, ale přispívají k jeho pohodlí. Jmenovitě zmiňme alespoň vlastnosti spadající pod jazyky JavaScript, CSS či protokol HTTP – například novou HTTP hlavičku nebo nový CSS prvek.

I zde platí, že každé pravidlo má svou výjimku – pokud by nasazení šifrovaného protokolu bylo vzhledem k povaze a funkci posuzovaného prvku neúměrně složité, dostane takový kandidát „propustku“. Jednotlivě budou tedy posuzována například klíčová slova pro barvy. Nebude-li užití HTTP v podobných případech sporné, nebude se muset šifrování u dané vlastnosti zavádět. Již implementovaných technologií se toto opatření také netýká, nemusí být tedy dodatečně přesměrovány na HTTPS. Pokud byl navíc prvek v nezabezpečené podobě přijmut již jinými prohlížeči, bude akceptován i Mozillou.

Toto 100% šifrování webu dává smysl – chrání přece nejdůležitější článek internetové komunikace – uživatele. Navíc odpovídá celkové inklinaci online světu k zabezpečenému protokolu a rozloučení se s HTTP. A v neposlední řadě toto pravidlo nezavedla Mozilla jako první - Chrome oznámil povinnost restrictive conntexts již v červenci minulého roku!

Přesný výčet prvků, kterých se nové opatření týká, najdete zde.

Aktualizováno 19.2.: 

Nově zavedla Mozilla povinnost HTTPS i pro funkci Application Cache. Stránky díky ní budou fungovat i offline, urychlí se jejich načítání a uleví se serveru...


Ing. Jindřich Zechmeister
Specialista pro bezpečnostní SSL certifikáty
DigiCert TLS/SSL Professional
e-mail: jindrich.zechmeister(at)zoner.cz