Firefox 76 vil som standard tvinge HTTPS til websteder

Firefox 76 har fået en ny adfærd til at åbne websteder. For websteder, der er tilgængelige via både HTTP og HTTPS, vil Firefox tvinge HTTPS. I øjeblikket foretrækker Firefox stadig HTTP, når intet protokolskema er eksplicit angivet af brugeren.

Som du måske allerede ved, havde Google og dets webbrowser startet en krig mod almindelig HTTP. Den nyligt udgivne Chrome 80 tvinger HTTP-ressourcer til at blive indlæst via HTTPS, ellers efterlader det dem blokeret indtil eksplicit brugerinteraktion. Snart vil Chrome blokere alle usikre downloads.

Mozilla har sluttet sig til kampen. Fra version 76 vil Firefox replikere Chromes adfærd ved at erstatte HTTP med HTTPS for både indlejrede ressourcer (f.eks. billeder og scripts) og adresselinjens tekst. Hvis du skriver somedomain.com i adresselinjen vil Firefox forsøge at åbne https://somedomain.com og ikke http://somedomain.com mere.

Hvis et websted ikke er tilgængeligt af HTTPS, vil Firefox vise en fejlside med en knap for at åbne webstedet med usikker almindelig HTTP.

Hvis nogle af de indlejrede ressourcer ikke er tilgængelige via HTTPS, blokerer browseren dem ikke fra og med version 76, men det vil udskrive fejlmeddelelser til udviklerkonsollen, som interesserede brugere kan tjekke ud i Web Developer Værktøjer.

Den nye adfærd kan deaktiveres eller aktiveres med en ny indstilling i om: config, dom.security.https_only_mode.

Før eller siden stopper alle almindelige browsere med at åbne HTTP-websteder.