Die Aktualisierungen gibt es als
RSS-Feed  oder im Changelog.

Privacy Handbuch

Viele Websites bieten HTTPS-Verschlüsselung an. Diese sichere Datenübertragung wird häufig nicht genutzt, obwohl es möglich wäre. Mit wenig Aufwand lässt sich die Nutzung von HTTPS für eine definierte Liste von Websites erzwingen.

Oft gibt man aus Faulheit in der URL Leiste des Browsers nur "www.privacy-handbuch.de" ein oder noch einfacher "privacy-handbuch.de". Daraufhin sendet der Browser einen einfachen HTTP Request an den Webserver. Gut konfigurierte Webserver antworten mit einem 301 Status und schicken den Surfer auf die HTTPS verschlüsselte Webseite, aber das ist nicht immer der Fall. Außerdem ist unverschlüsselte Request überflüssig und ein Unsicherheits­faktor. Folgende Möglichkeiten bestehen, um diese Unsicherheit zu vermeiden:
  1. iconDas Add-on HTTPSEverywhere kann auch komplexe Umschreibungen der URLs realisieren, wie es beispw. für Wikipedia notwendig ist. Das Add-on enthält einige tausend Regeln für Webseiten mit HTTPS Verschlüsselung. Die Konfiguration eigener Regeln erfolgt über XML-Dateien.
  2. iconDas Add-on HTTPZ kommt ohne Datenbank aus und versucht, eine Webseite via HTTPS aufzurufen, wenn eine HTTP URL eingegeben wurde. Wenn der Aufruf via HTTPS fehlschlägt, wird die Webseite unverschlüsselt via HTTP geladen. Es ist eine gut funktionierende Ergänzung.

    Das Add-on HTTPZ ändert nur den initialen Aufruf einer Webseite auf HTTPS aber nicht alle eingebetteten Inhalte. Deshalb ist es empfehlenswert, folgende Variable unter "about:config" zu setzen, damit auch alle Medien via HTTPS geladen werden: security.mixed_content.upgrade_display_content = true
  3. Firefox enthält die HSTS Preload List mit mehr als 1.200+ Domains, für die HTTPS schon im Browser erzwungen wird. Webmaster können ihre Websites auf der Seite eintragen, wenn sie die dort genannten Voraussetzungen erfüllen. Damit wird sichergestellt, dass die Webseite von allen Nutzern immer HTTPS verschlüsselt aufgerufen wird ohne Umweg über einen HTTPS Redirect.

Anzeige der HTTPS Verschlüsselung und Nicht-Verschlüsselung

Standardmäßig zeigt Firefox 70+ einen HTTPS--verschlüsselten Transport der Daten nur mit einem kleinen, unscheinbar grauen Icon neben der Adresse an:
HTTPS Anzeige grau

Etwas auffälliger war das beruhigende Grün für das Symbol bei älteren Firefox Versionen, welches man mit folgender Option unter "about:config" wieder aktivieren kann: security.secure_connection_icon_color_gray = false HTTPS Anzeige grün

Neben einfachen SSL-Zertifikaten gibt "Extended Validation Certificates", bei denen die Certification Authority (CA) die Identität des Inhabers aufwendiger prüft, bevor ein Zertifikat ausgestellt wird. Firefox 70+ zeigt keinen Hinweis mehr bei EV-Zertifikaten an. Wenn man die Sicherheits­information zum verifizierten Inhaber des SSL-Zertifikates wieder sehen möchte, muss man folgende Optionen unter "about:config" aktivieren:
security.identityblock.show_extended_validation  = true
security.OCSP.enabled = 1
HTTPS Anzeige mit Extended Validation

Auf der Webseite badssl.com kann man sich anschauen, wie Firefox bei Problemen in der HTTPS Verschlüsselung reagiert. Wenn man eine unsichere Verschlüsselung aktzeptiert hat, zeigt Firefox ein kleines, gelbes Warndreick neben dem Schloss-Symbol. Diese Warnung sollte man nicht ignorieren: HTTPS Anzeige mit Extended Validation

Außerdem kann man sich anzeigen lassen, wenn die Verbindung zum Webserver nicht verschlüsselt ist. Für ein Warn-Icon aktiviert man unter "about:config" folgende Optionen:
security.insecure_connection_icon.enabled  = true
security.insecure_connection_icon.pbmode.enabled  = true
Die Anzeige eines Warn-Textes neben der URL aktiviert man mit:
security.insecure_connection_text.enabled  = true
security.insecure_connection_text.pbmode.enabled  = true
Beide Optionen können auch kombiniert werden:
Warnung für unverschlüsselte Verbindungen
Lizenz: Public Domain