今天,我们宣布我们将逐步淘汰不安全的HTTPS。
注* 如果签名正确的HTTPS网站被劫持,之前的浏览器会发出签名错误的警告,但仍然会渲染这些页面。基于这一点,类似于年初的 百度被劫持攻击Github事件 将无法彻底杜绝。Firefox和Chrome最近都对安全级别进行了升级。比如最近的更新中,如果网站在ifrmae中嵌套了一个签名错误(被劫持)的HTTPS的网页,将无法渲染。
当前普遍认网页的前进方向为HTTPS。近几个月来,不断有组织呼吁互联网应用采用HTTPS加密传输,包括IETF,IAB,W3C和美国政府。
经过我们的社区和邮件列表上的热烈讨论,Mozilla承诺将专注于推荐安全HTTPS的发展,并开始停止支持不安全的HTTPS网站。我们有两大计划:
设置后,某个时间点的所有的新功能将只提供给安全的HTTPS
逐步淘汰不安全HTTPS网站的支持,因为它们威胁到用户隐私和安全。
对于第一点,社区需要商定具体日期,以及哪些是“新”功能。“新”的一个定义可以是“不能被polyfilled(兼容实现)的功能”。这意味着你仍然可以使用像CSS和其它功能来渲染不安全HTTPS的网站,但像硬件的一些功能的使用将会被限制使用。
该计划的第二个点将需要在安全和网络的兼容性之间进行权衡。禁止访问不安全的HTTPS有可能导致一些网站的崩溃。因此,我们必须监控破坏程度,再与安全的需求进行平衡。我们也已经开始考虑较小的限制,可以通过非安全网站使用一般功能。不过,火狐已经禁止从非安全HTTPS网站调用摄像头和麦克风的访问权限。还不断有一些建议,以限制非安全cookie的使用范围。
应当指出的是,这个方案仍然允许遗留的"http"URI的使用。随着HSTS的改动升级CSP(跨域Ajax请求),在“HTTP”可以自动由浏览器变为“https”,确保运行安全。
这项工作的目标是向Web开发人员社区传递一个信息,他们需要注意网站的安全,我们这些工作,如果对于协调整个网络社会是有效的。那么预计不久我们将作出一些建议提到W3C WebAppSec工作组。
感谢那些在邮件列表里参与了这项讨论的人。让我们的网络更加安全!
Richard Barnes, Firefox 安全主管