HTTPS Everywhere

HTTPS Everywhere Àr ett tillÀgg för Firefox, Chrome och Opera. Dess uppgift Àr att tvinga webblÀsaren att anvÀnda HTTPS (HTTP över TLS), dÄ det Àr tillgÀngligt. För att Ästadkomma detta har tillÀgget en lista med domÀner som webblÀsaren alltid ansluter till via port 443 och med kryptering, och styr om frÄn osÀker http:// till https://. TillvÀgagÄngssÀttet liknar sÄledes den HSTS-lista som Google underhÄller, och som anvÀnds i Chrome, Firefox, Edge, Internet Explorer och Safari. TillÀgget fungerar inte endast för den domÀn man synligt Àr ansluten till (den man ser i adressfÀltet), utan Àven för resurser (synliga och osynliga) frÄn andra domÀner. HTTPS Everywhere utvecklas av Electronic Frontier Foundation (EFF) i samarbete med The Tor Project. TillÀgget byggde frÄn början pÄ HTTPS-mekanismen i tillÀgget NoScript.

Sedan HTTPS Everywhere lanserades, i juni 2010, har mycket hÀnt med kryptering pÄ webben. DÄ var HTTPS undantag, och dÀr det var tillgÀngligt, anvÀndes det lÄngt ifrÄn alltid. MÄnga tjÀnster anvÀnde HTTPS endast vid inloggning och kontohantering, men osÀker HTTP för övrigt. I början av juli 2019 anvÀnder 53 procent av de tiomiljoner mest besökta webbplatserna endast HTTPS, en uppgÄng om 17,5 procentenheter pÄ ett Är. I augusti 2017 var det tjugo procent. Nu anvÀnder elva procent av webbplatserna HSTS. I september 2018 passerade andelen sÀkra anslutningar som görs med Firefox 75 procent.


Andel webbplatser med https som förval

Det finns dock alltjĂ€mt en roll för HTTPS Everywhere. Att ha en domĂ€n förbestĂ€md att endast anvĂ€nda HTTPS ger snabbare anslutning Ă€n att först försöka att ansluta osĂ€kert, för att sedan styras om till HTTPS. Det Ă€r ocksĂ„ sĂ€krare, dĂ„ ingen osĂ€ker anslutning görs, och tillĂ€gget dessutom förhindrar nedgradering till osĂ€ker HTTP. En vanlig 301-omstyrning Ă€r sĂ„rbar. Dem kan förhindras att styra om till https. I takt med att en allt större del av webben krypteras, Ă€r HTTPS Everywheres valfria blockering av alla okrypterade anslutningar allt mer anvĂ€ndbar. Det görs med ”Kryptera alla kvalificerade webbplatser”, som försöker att ansluta sĂ€kert, innan anslutning avslĂ„s.

I september 2008 fick tillÀgget NoScript, utvecklat av Giorgio Maone, en ny förmÄga, att tvinga alla kakor att endast sÀndas över en sÀker anslutning. Annars gÀller detta endast kakor med attributet secure. I den följande utgÄvan, 1.8.0.6 tillkom att anvÀndaren kan lÀgga till regler för domÀner, till vilka webblÀsaren endast skall ansluta sÀkert. Ett Är senare fick NoScript stöd för HTTP Strict Transport Security (HSTS), som Firefox fick inbyggt stöd för först i mars 2011.

Den 21 maj 2010 tillkĂ€nnagav Google att det skulle bli möjligt att ansluta sĂ€kert till deras söksida, www.google.com, om anvĂ€ndaren sjĂ€lv skrev in https i adressfĂ€ltet. Gör anvĂ€ndare det? Nej, de skriver google.com, eller skriver sin sökning i adressfĂ€ltet, eller trycker pĂ„ ett gammalt bokmĂ€rke, som inte innehĂ„ller https. SĂ„ledes var den sĂ€kra anslutningen inte sĂ„ vĂ€rdefull som den skulle kunna vara. Det var, kan man gissa, heller icke mĂ„nga som skrev in HTTPS-regler i NoScript. Det fick Electronic Frontier Foundation och Tor Project att utveckla ett tillĂ€gg för Firefox, och de valde att bygga det pĂ„ HTTPS-mekanismen i NoScript. (Stöd för tillĂ€gg hade du funnits i ett halvĂ„r i Chrome.) Tanken var dock att tillĂ€gget skulle vara lĂ€ttare att anvĂ€nda Ă€n NoScript, genom att innehĂ„lla regler som tvingar sĂ€ker anslutning till webbplatser. Till en början var antalet regler mycket begrĂ€nsat, och innehöll bland annat regler för Google sök, Wikipedia, Twitter, Facebook, The New York Times, The Washington Post, Paypal, EFF, Tor, Ixquick ”and many other sites”. HTTPS Everywhere 2019.6.27 har 24 540 regeluppsĂ€ttningar. En regeluppsĂ€ttning Ă€r en uppsĂ€ttning regler, som kan omfatta alltifrĂ„n en till, ja, en stor mĂ€ngd domĂ€ner.


HTTPS i Firefox 70+

Den första offentliga betaversionen slĂ€pptes den 17 juni 2010. Se en arkiverad kopia av EFF:s sida om HTTPS Everywhere den 15 juni 2010. Efter nĂ„gra tidiga versioner (0.1.1–0.2.2), slĂ€pptes en större uppdatering, en ”Firesheep-utgĂ„va”, som version 0.9.0 den 23 november 2010. Den hade 257 regeluppsĂ€ttningar. Version 1.0 slĂ€pptes den 4 augusti 2011, med 1012 regeluppsĂ€ttningar. Version 2.0 slĂ€pptes den 28 februari 2012, 1 457 regeluppsĂ€ttningar. Med den fick Firefox-utgĂ„van SSL Observatory, som HTTPS Everywhere för Chrome saknar. ”Observatoriet” undersöker den besökta webbplatsens certifikat och varnar för sĂ€kerhetsbrister.

Den 4 februari 2014 lanserades HTTPS Everywhere för Firefox för Android. Chrome för Android och IOS stöder ej tillÀgg.)

WebExtension-versionen (krĂ€vs för Firefox 57+) av HTTPS Everywhere för Firefox Ă€r i stort en kopia av Chrome-versionen, och har sĂ„ledes ej observatoriet. Med version 2017.8.15 tog WebExtension ett steg nĂ€rmare den stabila versionen, i form av en ”Embedded WebExtension”, för att underlĂ€tta övergĂ„ngen frĂ„n XPCOM till WebExtension. Samtidigt enades koden för Firefox och Chrome, och Firefox-versionen fick samma versionsnummer som Chrome-versionen. I och med version 2017.10.30 var övergĂ„ngen till WebExtension slutförd, och HTTPS Everywhere var dĂ€rmed redo för Firefox Quantum 57.


HTTPS Everywhere 2019.11.7 i Firefox
med regeluppsÀttning 2019.12.5

NÄgra större utgÄvor (milstenar):
  • 2010-06-17: den första betautgĂ„van för Firefox
  • 2010-11-23: 0.9.0 ”Firesheep-utgĂ„van” (257 regeluppsĂ€ttningar)
  • 2011-08-04: 1.0.0 (1 012 regeluppsĂ€ttningar)
  • 2012-02-06: första ”officiella” alfautgĂ„van för Chrome
  • 2012-05-01: ”The May Day Chromium Beta Release” (886 nya regeluppsĂ€ttningar)
  • 2012-02-28: 2.0.0 (1 457 regeluppsĂ€ttningar)
  • 2012-10-04: 3.0.0 (3 031 regeluppsĂ€ttningar)
  • 2014-08-04: 4.0.0 (3 196 regeluppsĂ€ttningar)
  • 2015-03-23: 5.0.0/2015.3.23 (14 850 regeluppsĂ€ttningar, stöd för e10s)
  • 2017-10-30: 2017.10.30 (WebExtension!)
  • 2019-01-31: 2019.1.31 (”Encrypt all sites eligible”, EASE)
  • 2019-05-02: 2019.5.2 (nytt utseende, ny flat ikon)
  • 2019-11-07: 2019.11.7 (tidigare ikoner Ă„terinfördes)


HTTPS Everywhere rekommenderas av Mozilla


Det Ă€r s:et i HTTPS som gör ’et.

HTTPS Everywhere för Chrome började som en portering av det ursprungliga Firefox-tillĂ€gget, vilket bl.a. innebar att Chrome-versionen ofta uppdaterades nĂ„got efter Firefox-versionen. En första offentlig alfaversion slĂ€pptes den 6 februari 2012, och en uppdatering den 9 februari. DĂ€refter följde den första betaversionen, den 27 februari 2012: HTTPS and Tor: Working Together to Protect Your Privacy and Security Online. Trots mĂ„nga uppdateringar, betraktades HTTPS Everywhere för Chrome lĂ€nge som beta. Den 13 december 2013 blev Chrome-versionen av HTTPS Everywhere officiellt tillgĂ€ngligt för Chromium-baserade Opera 15+. FrĂ„n och med version 5.0 för Firefox och 2015.3.23 för Chrome Ă€r koden densamma för Firefox och Chrome. Denna version har en kraftigt utökad mĂ€ngd regeluppsĂ€ttningar. I en följande uppdatering, 2015.3.31, fick Chrome-versionen funktionen ”Blockera alla okrypterade förfrĂ„gningar”, som blockerar alla osĂ€kra anslutningar. Denna funktion, som Firefox-versionen fick i 4.0.2 (2014-10-15), gör förstĂ„s en del av webben oĂ„tkomlig, men den delen krymper stadigt. FrĂ„n och med version 2016.12.19 görs ett försök att ansluta sĂ€kert innan anslutning avslĂ„s. I takt med att en allt större del av webben blir krypterad, blir detta lĂ€ge mer anvĂ€ndbart. DĂ„ detta lĂ€ge anvĂ€nds, visas en S-ikon i form av ett hĂ€nglĂ„s. I version 2019.1.7 har ”Block all unencrypted requests” Ă€ndrats till ”Encrypt all sites eligible”. I den svenska översĂ€ttningen Ă€ndrades texten i version 2019.1.31 frĂ„n ”Blockera alla okrypterade förfrĂ„gningar” till ”Kryptera alla webbplatser som Ă€r berĂ€ttigade (EASE)”. I detta lĂ€ge kan anvĂ€ndaren lĂ€tt tillĂ„ta osĂ€ker anslutning, om sĂ€ker anslutning ej medges, och anvĂ€ndaren likvĂ€l vill ansluta till webbplatsen. ÖversĂ€ttningen Ă€ndrades sedermera till ”Kryptera alla kvalificerade webbplatser”.


Röd ikon som visar att osÀkra anslutningar ej tillÄts

FrÄn och med 2018.8.22 visas nedanstÄende meddelande om HTTPS Everywhere i http-blockerande lÀge inte lyckas uppgradera frÄn http till https.


HTTPS Everywhere kan ej uppgradera http://http.badssl.com till https.

I version 2017.1.25 togs regler bort för domĂ€ner som Ă€r med i HSTS-listor i alla webblĂ€sare som stöds. DĂ„ denna version slĂ€pptes fanns 20 757 domĂ€ner och underdomĂ€ner i Chromiums HSTS-lista med ”force-https”. Den 15 januari 2019 Ă€r det 65 124. FrĂ„n och med version 2018.4.3 kan regeluppsĂ€ttningarna uppdateras utan att tillĂ€gget uppdateras. DĂ€rmed kan anvĂ€ndarna fĂ„ nya regeluppsĂ€ttningar snabbare och oftare.

HTTPS Everywhere fick ett nytt utseende och en ny platt ikon i och med version 2019.5.2, med smÀrre uppdateringar av utseende och texter i versionerna .5.6 och .5.13. I och med 2019.11.7 Äterinfördes de tidigare ikonerna (röd ikon dÄ Kryptera alla kvalificerade webbplatser Àr pÄ).

För fler detaljer om varje version av HTTPS Everywhere, se Àndringsloggen.

HTTPS Everywhere ingÄr i webblÀsaren Brave för bÄde dator och telefon. Brave Àr byggd pÄ Chromium, och att Chrome för Android och IOS ej stöder tillÀgg, gör Brave till ett lockande val. Under den tid den fanns, innehöll Avira Scout, ocksÄ byggd pÄ Chromium, HTTPS Everywhere. Tenta Private VPN Browser för Android innehÄller HTTPS Everywhere.

Den 8 april 2019 slĂ€ppte Microsoft Edge Dev och Canary – byggd pĂ„ Chromium –, som kan installera tillĂ€gg frĂ„n Chrome Web Store, om anvĂ€ndaren tillĂ„ter tillĂ€gg frĂ„n andra kĂ€llor Ă€n Microsoft Store. DĂ€rmed blev HTTPS Everywhere tillgĂ€nglig i Microsoft Edge. Den 15 januari 2015 slĂ€pptes Edge 79 som en stabil utgĂ„va, och den nya Edge fick ett eget tillĂ€ggsförrĂ„d, Microsoft Edge Addons. DĂ€r finns HTTPS Everywhere.


Edge Dev 76 med HTTPS Everywhere och Privacy Badger


Electronic Frontier Foundation (EFF)


The Tor Project

Milstenar:


Let’s Encrypt, gratis DV-certifikat

HTTPS Everywhere kan förstĂ„s inte leva upp till sitt namn mer Ă€n webbplatserna tillĂ„ter. För HTTPS krĂ€vs att det finns ett certifikat för domĂ€nen. LĂ„ngt ifrĂ„n alla domĂ€ner har ett certifikat, vilket innebĂ€r att lĂ„ngt ifrĂ„n alla webbplatser kan erbjuda sĂ€ker anslutning. Den 1 mars 2016 saknade en tredjedel (33,3 %) av de tiomiljoner mest besökta webbplatserna ett certifikat, enligt WÂłTechs. I början av juli 2017 hade andelen sjunkit till 25,0 procent, och i slutet av november 2018 ytterligare tio procentenheter, till 15,0 procent. Den 1 juni 2019 var siffran 11,5 procent. OcksĂ„ Invalid domain ’ogiltig domĂ€n’ sjunker snabbt. Den 1 april 2016 var det 47,1 procent. Ett Ă„r senare var det 37,4 procent, och ytterligare ett Ă„r senare var det 29,5 procent. Den första december 2018 var det 20,5 procent. Den 1 juli 2019 var det 16,6 procent.

Let’s Encrypt Ă€r en certifikatutfĂ€rdare som har det blygsamma syftet att kryptera hela webben. Som framgĂ„r av siffrorna ovan, pĂ„gĂ„r detta med full fart, och Let’s Encrypt Ă€r en stor del av det som sker. Sedan den 22 mars 2018 Ă€r Let’s Encrypt den mest anvĂ€nda certifikatutfĂ€rdaren, enligt WÂłTechs, och den 12 december 2018 passerade antalet kvalificerade domĂ€ner hundrafemtiomiljoner. Den 24 maj 2019 passerades hundrasjuttiomiljoner.

Ett annat tillÀgg frÄn EFF Àr Privacy Badger.