转载

Mozilla Firefox将停止支持不安全的HTTPS

今天，我们宣布我们将逐步淘汰不安全的HTTPS。

注* 如果签名正确的HTTPS网站被劫持，之前的浏览器会发出签名错误的警告，但仍然会渲染这些页面。基于这一点，类似于年初的百度被劫持攻击Github事件将无法彻底杜绝。Firefox和Chrome最近都对安全级别进行了升级。比如最近的更新中，如果网站在ifrmae中嵌套了一个签名错误（被劫持）的HTTPS的网页，将无法渲染。

当前普遍认网页的前进方向为HTTPS。近几个月来，不断有组织呼吁互联网应用采用HTTPS加密传输，包括IETF，IAB，W3C和美国政府。

经过我们的社区和邮件列表上的热烈讨论，Mozilla承诺将专注于推荐安全HTTPS的发展，并开始停止支持不安全的HTTPS网站。我们有两大计划：

设置后，某个时间点的所有的新功能将只提供给安全的HTTPS

逐步淘汰不安全HTTPS网站的支持，因为它们威胁到用户隐私和安全。

对于第一点，社区需要商定具体日期，以及哪些是“新”功能。“新”的一个定义可以是“不能被polyfilled（兼容实现）的功能”。这意味着你仍然可以使用像CSS和其它功能来渲染不安全HTTPS的网站，但像硬件的一些功能的使用将会被限制使用。

该计划的第二个点将需要在安全和网络的兼容性之间进行权衡。禁止访问不安全的HTTPS有可能导致一些网站的崩溃。因此，我们必须监控破坏程度，再与安全的需求进行平衡。我们也已经开始考虑较小的限制，可以通过非安全网站使用一般功能。不过，火狐已经禁止从非安全HTTPS网站调用摄像头和麦克风的访问权限。还不断有一些建议，以限制非安全cookie的使用范围。

应当指出的是，这个方案仍然允许遗留的"http"URI的使用。随着HSTS的改动升级CSP（跨域Ajax请求），在“HTTP”可以自动由浏览器变为“https”，确保运行安全。

这项工作的目标是向Web开发人员社区传递一个信息，他们需要注意网站的安全，我们这些工作，如果对于协调整个网络社会是有效的。那么预计不久我们将作出一些建议提到W3C WebAppSec工作组。

感谢那些在邮件列表里参与了这项讨论的人。让我们的网络更加安全！

Richard Barnes, Firefox 安全主管

正文到此结束