Firefox zet volgende stap in blokkade van sites zonder https

De blokkade van onbeveiligde sites is een instelling die nu nog niet standaard is geactiveerd, melden onder meer Venturebeat en ZDNet. Gebruikers van de browser vinden de HTTPS-Only-modus onder het tabje Privacy and Security van de voorkeuren. Wanneer deze wordt geactiveerd, worden sites die alleen een onbeveiligde http-verbinding ondersteunen, niet meer geladen. In plaats daarvan verschijnt een foutmelding op het scherm die wijst op de onbeveiligde verbinding. Dat scherm biedt overigens wel de optie om alsnog de http-site te laden.

Mozilla zet hiermee de volgende stap in het proces om onbeschermd verkeer over internet uit te bannen. Dat initiatief is gestart met Let's Encrypt, de organisatie die in 2016 begon met het verstrekken van gratis digitale-certificaten. Tot dan toe was het aanvragen van een certificaat een kostbare zaak, die alleen werd gedaan door organisaties die echt moesten zorgen dat de informatie die bezoekers op de site achterlieten, veilig was.

Nog veel onbeschermde domeinen

Hoewel Let's Encrypt heeft gezorgd voor een enorme impuls aan het beveiligen van webverkeer, heeft maar ongeveer een kwart van de domeinen in het .nl-domein een Transport Layer Certificaat (TLS)-certificaat zoals blijkt uit statistieken van SIDN, de beheerder van het .nl-domein. Nu zijn er onder die 6 miljoen domeinen ook veel die niet actief zijn, maar er zijn er ook heel wat die alleen wat statische informatie tonen en dus weinig baat hebben bij het beveiligen van het verkeer tussen bezoeker en website. Hoewel het aanvragen van het certificaat weliswaar gratis is, rekenen hostingpartijen doorgaans extra voor het gebruik van de infrastructuur die nodig is om de beveiligde verbinding daadwerkelijk tot stand te brengen.

Toch verwacht Mozilla dat steeds meer eigenaren van domeinen overgaan tot deze beveiliging en dat het spoedig mogelijk zal zijn de oude http-verbindingen compleet te verbannen door de HTTPS-Only-modus als standaard instelling in browsers op te nemen.