🔒 HTTPS Everywhere

HTTPS Everywhere

HTTPS Everywhere är ett tillägg för Firefox, Chrome och Opera. Dess uppgift är att tvinga webbläsaren att använda HTTPS (HTTP över TLS), då det är tillgängligt. För att åstadkomma detta har tillägget en lista med domäner som webbläsaren alltid ansluter till via port 443 och med kryptering, och styr om från osäker http:// till https://. Tillvägagångssättet liknar således den HSTS-lista som Google underhåller, och som används i Chrome, Firefox, Edge, Internet Explorer och Safari. Tillägget fungerar inte endast för den domän man synligt är ansluten till (den man ser i adressfältet), utan även för resurser (synliga och osynliga) från andra domäner. HTTPS Everywhere utvecklas av Electronic Frontier Foundation (EFF) i samarbete med The Tor Project. Tillägget byggde från början på HTTPS-mekanismen i tillägget NoScript.

Sedan HTTPS Everywhere lanserades, i juni 2010, har mycket hänt med kryptering på webben. Då var HTTPS undantag, och där det var tillgängligt, användes det långt ifrån alltid. Många tjänster använde HTTPS endast vid inloggning och kontohantering, men osäker HTTP för övrigt. I början av juli 2019 använder 53 procent av de tiomiljoner mest besökta webbplatserna endast HTTPS, en uppgång om 17,5 procentenheter på ett år. I augusti 2017 var det tjugo procent, och i slutet av augusti 2021 75 procent. Nu använder elva procent av webbplatserna HSTS. I september 2018 passerade andelen säkra anslutningar som görs med Firefox 75 procent, och i april 2020 passerades 85 procent.

Andel webbplatser med https som förval

Det finns dock alltjämt en roll för HTTPS Everywhere. Att ha en domän förbestämd att endast använda HTTPS ger snabbare anslutning än att först försöka att ansluta osäkert, för att sedan styras om till HTTPS. Det är också säkrare, då ingen osäker anslutning görs, och tillägget dessutom förhindrar nedgradering till osäker HTTP. En vanlig 301-omstyrning är sårbar. Den kan förhindras att styra om till https. I takt med att en allt större del av webben krypteras, är HTTPS Everywheres valfria blockering av alla okrypterade anslutningar allt mer användbar. Det görs med ”Kryptera alla kvalificerade webbplatser”, som försöker att ansluta säkert, innan anslutning avslås.

I september 2008 fick tillägget NoScript, utvecklat av Giorgio Maone, en ny förmåga, att tvinga alla kakor att endast sändas över en säker anslutning. Annars gäller detta endast kakor med attributet secure. I den följande utgåvan, 1.8.0.6 tillkom att användaren kan lägga till regler för domäner, till vilka webbläsaren endast skall ansluta säkert. Ett år senare fick NoScript stöd för HTTP Strict Transport Security (HSTS), som Firefox fick inbyggt stöd för först i mars 2011.

Den 21 maj 2010 tillkännagav Google att det skulle bli möjligt att ansluta säkert till deras söksida, www.google.com, om användaren själv skrev in https i adressfältet. Gör användare det? Nej, de skriver google.com, eller skriver sin sökning i adressfältet, eller trycker på ett gammalt bokmärke, som inte innehåller https. Således var den säkra anslutningen inte så värdefull som den skulle kunna vara. Det var, kan man gissa, heller icke många som skrev in HTTPS-regler i NoScript. Det fick Electronic Frontier Foundation och Tor Project att utveckla ett tillägg för Firefox, och de valde att bygga det på HTTPS-mekanismen i NoScript. (Stöd för tillägg hade du funnits i ett halvår i Chrome.) Tanken var dock att tillägget skulle vara lättare att använda än NoScript, genom att innehålla regler som tvingar säker anslutning till webbplatser. Till en början var antalet regler mycket begränsat, och innehöll bland annat regler för Google sök, Wikipedia, Twitter, Facebook, The New York Times, The Washington Post, Paypal, EFF, Tor, Ixquick ”and many other sites”. HTTPS Everywhere 2019.6.27 har 24 540 regeluppsättningar. En regeluppsättning är en uppsättning regler, som kan omfatta alltifrån en till, ja, en stor mängd domäner.

HTTPS i Firefox 70+

Den första offentliga betaversionen släpptes den 17 juni 2010. Se en arkiverad kopia av EFF:s sida om HTTPS Everywhere den 15 juni 2010. Efter några tidiga versioner (0.1.1–0.2.2), släpptes en större uppdatering, en ”Firesheep-utgåva”, som version 0.9.0 den 23 november 2010. Den hade 257 regeluppsättningar. Version 1.0 släpptes den 4 augusti 2011, med 1012 regeluppsättningar. Version 2.0 släpptes den 28 februari 2012, 1 457 regeluppsättningar. Med den fick Firefox-utgåvan SSL Observatory, som HTTPS Everywhere för Chrome saknar. ”Observatoriet” undersöker den besökta webbplatsens certifikat och varnar för säkerhetsbrister.

Den 4 februari 2014 lanserades HTTPS Everywhere för Firefox för Android. Chrome för Android och IOS stöder ej tillägg.)

WebExtension-versionen (krävs för Firefox 57+) av HTTPS Everywhere för Firefox är i stort en kopia av Chrome-versionen, och har således ej observatoriet. Med version 2017.8.15 tog WebExtension ett steg närmare den stabila versionen, i form av en ”Embedded WebExtension”, för att underlätta övergången från XPCOM till WebExtension. Samtidigt enades koden för Firefox och Chrome, och Firefox-versionen fick samma versionsnummer som Chrome-versionen. I och med version 2017.10.30 var övergången till WebExtension slutförd, och HTTPS Everywhere var därmed redo för Firefox Quantum 57.

HTTPS Everywhere 2021.4.15 i Firefox med
regeluppsättning 2021.4.15 (EFF) och 2021.4.14 (DDG)

Några större utgåvor (milstenar):

2010-06-17: den första betautgåvan för Firefox
2010-11-23: 0.9.0 ”Firesheep-utgåvan” (257 regeluppsättningar)
2011-08-04: 1.0.0 (1 012 regeluppsättningar)
2012-02-06: första ”officiella” alfautgåvan för Chrome
2012-05-01: ”The May Day Chromium Beta Release” (886 nya regeluppsättningar)
2012-02-28: 2.0.0 (1 457 regeluppsättningar)
2012-10-04: 3.0.0 (3 031 regeluppsättningar)
2014-08-04: 4.0.0 (3 196 regeluppsättningar)
2015-03-23: 5.0.0/2015.3.23 (14 850 regeluppsättningar, stöd för e10s)
2017-10-30: 2017.10.30 (WebExtension!)
2019-01-31: 2019.1.31 (”Encrypt all sites eligible”, EASE)
2019-05-02: 2019.5.2 (nytt utseende, ny flat ikon)
2019-11-07: 2019.11.7 (tidigare ikoner återinfördes)
2021-04-15: 2021.4.15 (inför regeluppsättning från DDG)

Encrypt the Web with the HTTPS Everywhere Firefox Extension (EFF, 2010-06-17)
HTTPS Everywhere Firefox addon helps you encrypt web traffic (The Tor Blog, 2010-06-17)
EFF Tool Offers New Protection Against ‘Firesheep’ (2010-11-23)
Encrypt the Web with HTTPS Everywhere (2011-08-04)
New ‘HTTPS Everywhere’ Version Warns Users About Web Security Holes (2012-02-27)
HTTPS Everywhere & the Decentralized SSL Observatory (2012-02-29)
HTTPS Everywhere 3.0 Secures the Web for Firefox, Chrome Users (2012-10-10)
Making the Mobile Web Safer with HTTPS Everywhere (2014-02-04)
HTTPS Everywhere Version 5: Sixteen New Languages and Thousands of New Rules (2015-04-02)
HTTPS Everywhere Introduces New Feature: Continual Ruleset Updates (2018-03-04)
How HTTPS Everywhere Keeps Protecting Users On An Increasingly Encrypted Web (2018-12-13)
EFF Extensions Recommended by Firefox (2019-07-24)
10 Years of HTTPS Everywhere (2020-11-10)
EFF Partners with DuckDuckGo to Enhance Secure Browsing and Protect User Information on the Web (2021-04-15)
HTTPS Everywhere Now Uses DuckDuckGo’s Smarter Encryption (2021-04-15)
EFF Adopts DuckDuckGo HTTPS Dataset (DDG, 2021-04-15)
How to Encrypt Your Internet Traffic – 2021 Guide (PixelPrivacy, 2021-05-23)
HTTPS Is Actually Everywhere (2021-09-21)

HTTPS Everywhere rekommenderas av Mozilla

Det är s:et i HTTPS som gör ’et.

HTTPS Everywhere för Chrome började som en portering av det ursprungliga Firefox-tillägget, vilket bl.a. innebar att Chrome-versionen ofta uppdaterades något efter Firefox-versionen. En första offentlig alfaversion släpptes den 6 februari 2012, och en uppdatering den 9 februari. Därefter följde den första betaversionen, den 27 februari 2012: HTTPS and Tor: Working Together to Protect Your Privacy and Security Online. Trots många uppdateringar, betraktades HTTPS Everywhere för Chrome länge som beta. Den 13 december 2013 blev Chrome-versionen av HTTPS Everywhere officiellt tillgängligt för Chromium-baserade Opera 15+. Från och med version 5.0 för Firefox och 2015.3.23 för Chrome är koden densamma för Firefox och Chrome. Denna version har en kraftigt utökad mängd regeluppsättningar. I en följande uppdatering, 2015.3.31, fick Chrome-versionen funktionen ”Blockera alla okrypterade förfrågningar”, som blockerar alla osäkra anslutningar. Denna funktion, som Firefox-versionen fick i 4.0.2 (2014-10-15), gör förstås en del av webben oåtkomlig, men den delen krymper stadigt. Från och med version 2016.12.19 görs ett försök att ansluta säkert innan anslutning avslås. I takt med att en allt större del av webben blir krypterad, blir detta läge mer användbart. Då detta läge används, visas en S-ikon i form av ett hänglås. I version 2019.1.7 har ”Block all unencrypted requests” ändrats till ”Encrypt all sites eligible”. I den svenska översättningen ändrades texten i version 2019.1.31 från ”Blockera alla okrypterade förfrågningar” till ”Kryptera alla webbplatser som är berättigade (EASE)”. I detta läge kan användaren lätt tillåta osäker anslutning, om säker anslutning ej medges, och användaren likväl vill ansluta till webbplatsen. Översättningen ändrades sedermera till ”Kryptera alla kvalificerade webbplatser”.

Röd ikon som visar att osäkra anslutningar ej tillåts

Från och med 2018.8.22 visas nedanstående meddelande om HTTPS Everywhere i http-blockerande läge inte lyckas uppgradera från http till https.

HTTPS Everywhere kan ej uppgradera http://http.badssl.com till https.

I version 2017.1.25 togs regler bort för domäner som är med i HSTS-listor i alla webbläsare som stöds. Då denna version släpptes fanns 20 757 domäner och underdomäner i Chromiums HSTS-lista med ”force-https”. Den 15 januari 2019 är det 65 124. Från och med version 2018.4.3 kan regeluppsättningarna uppdateras utan att tillägget uppdateras. Därmed kan användarna få nya regeluppsättningar snabbare och oftare.

HTTPS Everywhere fick ett nytt utseende och en ny platt ikon i och med version 2019.5.2, med smärre uppdateringar av utseende och texter i versionerna .5.6 och .5.13. I och med 2019.11.7 återinfördes de tidigare ikonerna (röd ikon då Kryptera alla kvalificerade webbplatser är på).

För fler detaljer om varje version av HTTPS Everywhere, se ändringsloggen.

HTTPS Everywhere ingår i webbläsaren Brave för både dator och telefon. Brave är byggd på Chromium, och att Chrome för Android och IOS ej stöder tillägg, gör Brave till ett lockande val. Under den tid den fanns, innehöll Avira Scout, också byggd på Chromium, HTTPS Everywhere. Tenta Private VPN Browser för Android innehåller HTTPS Everywhere.

Den 8 april 2019 släppte Microsoft Edge Dev och Canary – byggd på Chromium –, som kan installera tillägg från Chrome Web Store, om användaren tillåter tillägg från andra källor än Microsoft Store. Därmed blev HTTPS Everywhere tillgänglig i Microsoft Edge. Den 15 januari 2015 släpptes Edge 79 som en stabil utgåva, och den nya Edge fick ett eget tilläggsförråd, Microsoft Edge Addons. Där finns HTTPS Everywhere.

Electronic Frontier Foundation (EFF)

The Tor Project

Den 15 april 2021 meddelade EFF att HTTPS Everywhere i och med version 2021.4.15 använder inte endast EFF:s egen regeluppsättning, utan också DuckDuckGo Smarter Encryption. Samtidigt kungjordes att utvecklingen av HTTPS Everywhere kommer att läggas ned under 2021. Nya regeluppsättningar tas emot till slutet av maj, varefter utvecklingen övergår till underhållsläge. Regeluppsättningar kommer att förbli tillgängliga på GitHub till årets slut. Detta skall ge användare tid att byta till DuckDuckGo Privacy Essentials, eller använda en webbläsare med motsvarande funktion. Firefox med dess Endast HTTPS-läge är ett gott val, mitt val. 😎️ Edge 92 har en liknande funktion, kallad Automatisk HTTPS.

Utgivare: Electronic Frontier Foundation
Informationssida: HTTPS Everywhere
Regeluppsättningar: HTTPS Everywhere Rulesets
Vanliga frågor: HTTPS Everywhere FAQ
Set Up HTTPS by Default in Your Browser
Atlas: HTTPS Everywhere Atlas
Versionshistorik: Changelog
Firefox-tillägg: HTTPS Everywhere
Chrome Web Store: HTTPS Everywhere
Operatillägg: HTTPS Everywhere
Microsoft Edge Addons: HTTPS Everywhere
Källkod: GitHub
Wikipedia: HTTPS Everywhere

Milstenar:

2009-09-23: NoScript stöder HSTS: Strict Transport Security in NoScript
2010-01-25: Chrome 4.0 stöder HSTS
2010-05-21: Google kungör säker sökning: Search more securely with encrypted Google web search
2010-06-17: EFF och Tor Project släpper beta av HTTPS Everywhere för Firefox
2011-03-22: Firefox 4.0 stöder HSTS: Firefox 4: HTTP Strict Transport Security (force HTTPS)
2016-12-08: 50 % av de anslutningar Firefox gör är säkra. 😀
2018-01-23: DuckDuckGo släpper tillägget Privacy Essentials med Smarter Encryption.
2018-09-11: 75 % av de anslutningar Firefox gör är säkra. 😀
2020-04-06: 85 % av de anslutningar Firefox gör är säkra. 😀
2020-04-06: Firefox 83 släpps, med Endast HTTPS-läge.
2021-04-14: Chrome 90 släpps. Väljer https före http om inget anges.
2021-09-20: Safari 15 släpps. Uppgraderar http till https där så är möjligt.
2021-09-21: Chrome 94 släpps. Uppgraderar http till https där så är möjligt (valfritt).

Let’s Encrypt, gratis DV-certifikat

HTTPS Everywhere kan förstås inte leva upp till sitt namn mer än webbplatserna tillåter. För HTTPS krävs att det finns ett certifikat för domänen. Långt ifrån alla domäner har ett certifikat, vilket innebär att långt ifrån alla webbplatser kan erbjuda säker anslutning. Den 1 mars 2016 saknade en tredjedel (33,3 %) av de tiomiljoner mest besökta webbplatserna ett certifikat, enligt W³Techs. I början av juli 2017 hade andelen sjunkit till 25,0 procent, och i slutet av november 2018 ytterligare tio procentenheter, till 15,0 procent. Den 1 juni 2019 var siffran 11,5 procent. Också Invalid domain ’ogiltig domän’ sjunker snabbt. Den 1 april 2016 var det 47,1 procent. Ett år senare var det 37,4 procent, och ytterligare ett år senare var det 29,5 procent. Den första december 2018 var det 20,5 procent. Den 1 juli 2019 var det 16,6 procent.

Let’s Encrypt är en certifikatutfärdare som har det blygsamma syftet att kryptera hela webben. Som framgår av siffrorna ovan, pågår detta med full fart, och Let’s Encrypt är en stor del av det som sker. Sedan den 22 mars 2018 är Let’s Encrypt den mest använda certifikatutfärdaren, enligt W³Techs, och den 12 december 2018 passerade antalet kvalificerade domäner hundrafemtiomiljoner. Den 24 maj 2019 passerades hundrasjuttiomiljoner.

Ett annat tillägg från EFF är Privacy Badger.