HTTPS Everywhere

aus Wikipedia, der freien Enzyklopädie
Zur Navigation springen Zur Suche springen
HTTPS Everywhere

HTTPS Everywhere icon.svg
Basisdaten

Entwickler Electronic Frontier Foundation
Aktuelle Version 2018.6.21[1][2]
(21.06.2018)
Programmiersprache JavaScript, Python
Kategorie Browser-Plug-in
Lizenz GPL v3
deutschsprachig ja
www.eff.org/https-everywhere

HTTPS Everywhere ist ein Browser-Plug-in für die Webbrowser: Mozilla Firefox, Opera und seit 2012 auch für Google Chrome,[3] mit dem Ziel, die Verbindungen zu Websites automatisch verschlüsselt anzufordern. Es wird als freie Software von der Electronic Frontier Foundation (EFF) in Zusammenarbeit mit dem Tor Project entwickelt.[4]

Funktionsweise[Bearbeiten | Quelltext bearbeiten]

Standardmäßig werden Verbindungen zu den meisten Websites über das unverschlüsselte HTTP-Protokoll aufgebaut. Das erlaubt es Angreifern, den Netzwerkverkehr abzuhören oder sogar zu manipulieren. Um dem entgegenzuwirken, bieten viele Website-Betreiber auch eine verschlüsselte Verbindung über HTTPS an. In den Fällen, in denen die Verwendung der verschlüsselten Verbindung optional ist, bleibt es dem Benutzer überlassen, darauf zu achten, dass die angeforderte Website per HTTPS übertragen wird.

An dieser Stelle nimmt HTTPS Everywhere dem Benutzer die Arbeit ab und ersetzt HTTP-Anfragen durch HTTPS-Anfragen, sofern der Server dies unterstützt. Das funktioniert mit den Seiten, die von der EFF auf HTTPS-Tauglichkeit überprüft und der internen Liste des Add-ons hinzugefügt wurden. In diesen Listen können mit Hilfe regulärer Ausdrücke auch komplexere Umleitungen definiert werden.

Solche Regeln für einzelne Websites lassen sich in den Einstellungen aktivieren oder deaktivieren. Es ist möglich, eigene Regeln (englisch rulesets) für bestimmte Websites zu definieren. Möchte man seine selbst erstellten Regeln für die anderen Nutzer veröffentlichen, besteht die Möglichkeit, diese mittels eines pull request auf GitHub zur Verfügung zu stellen oder an eine speziell dafür eingerichtete E-Mail-Adresse zu senden.[5]

Mit Version 4.0.2 wurde eine Option implementiert, die es mit einem Klick ermöglicht, unsichere http-Verbindungen komplett zu blockieren.[6]

SSL Observatory[Bearbeiten | Quelltext bearbeiten]

Ab Version 2.0 enthält das Add-on das SSL Observatory. Ist die Funktion aktiviert, überprüft das Add-on beim Aufruf einer Website das SSL-Zertifikat mit einer auf dem EFF-Server bereitgestellten Liste.

So kann überprüft werden, ob es sich bei dem ausgelieferten Zertifikat um das bekanntlich zu einer Website gehörige handelt oder möglicherweise ein Man-in-the-Middle-Angriff stattfindet. Außerdem wird der Benutzer gewarnt, wenn unsichere kryptografische Verfahren verwendet werden.

Die EFF gibt an, eintreffende Anfragen möglichst anonym zu behandeln.

Fortwährende Regelsatz-Aktualisierungen[Bearbeiten | Quelltext bearbeiten]

Mit der am 3. April 2018 veröffentlichten Version 2018.4.3 wurde die Funktion "Continual Ruleset Updates" eingeführt.[7] Diese Update- Funktion führt einen Regelsatz-Abgleich innerhalb von 24 Stunden durch, um stets möglichst aktuelle https-Regeln anwenden zu können. Eine Website, genannt https://www.https-rulesets.org/, wurde von der EFF eigens hierfür eingerichtet. Diese Option, genannt "Regelsätze automatisch aktualisieren", kann in den Add-on- Einstellungen deaktiviert werden. Vor Einführung dieses Update-Mechanismus wurden die Regelsätze lediglich bei App-Updates aktualisiert. Auch nach Einführung dieser Funktion werden bei App-Updates häufig sogenannte "bundled Rulesets", also implementierte Regelsätze, mitgeliefert.

Kritik[Bearbeiten | Quelltext bearbeiten]

Durch das Prüfen der Zertifikate mittels des SSL Observatory werden die aufgerufenen Webadressen an die EFF übertragen.[8] Diese Funktion ist daher datenschutzrechtlich bedenklich, sie muss jedoch auch explizit vom Nutzer aktiviert werden.

Es werden nicht alle Websites auf eine sichere Verbindung (https) umgestellt, wie der Name es suggeriert (englisch: HTTPS Everywhere, deutsch: HTTPS überall), sondern nur bestimmte Websites, die in der sogenannten HTTPS Everywhere Atlas-Datenbank eingetragen sind.[9]

Weblinks[Bearbeiten | Quelltext bearbeiten]

Einzelnachweise[Bearbeiten | Quelltext bearbeiten]

  1. https://addons.mozilla.org/de/android/addon/https-everywhere
  2. https://github.com/EFForg/https-everywhere/releases
  3. HTTPS Everywhere jetzt auch für Chrome. In: heise Security. 2. März 2012, abgerufen am 12. Juli 2016.
  4. Automatische Webverschlüsselung für (fast) überall. In: heise Security. 18. Juni 2010, abgerufen am 12. Juli 2016.
  5. HTTPS Everywhere Rulesets: Testing and Submitting. In: eff.org. Abgerufen am 28. Februar 2016 (englisch).
  6. HTTPS Everywhere Changelog (englisch)
  7. https-everywhere now delivers new rulesets without upgrading extension. In: bleepingcomputer.com. 5. April 2018, abgerufen am 11. Juli 2018 (englisch).
  8. The EFF SSL Observatory - Electronic Frontier Foundation. In: eff.org. Abgerufen am 15. Februar 2016 (englisch).
  9. HTTPS Everywhere Atlas. In: eff.org. Abgerufen am 15. Februar 2016 (englisch).