{"id":2207,"date":"2015-07-06T14:56:39","date_gmt":"2015-07-06T12:56:39","guid":{"rendered":"https:\/\/www.psw-group.de\/blog\/?p=2207"},"modified":"2026-01-22T13:25:19","modified_gmt":"2026-01-22T12:25:19","slug":"mozilla-trennt-sich-von-http","status":"publish","type":"post","link":"https:\/\/www.psw-group.de\/blog\/mozilla-trennt-sich-von-http\/","title":{"rendered":"Mozilla trennt sich von HTTP"},"content":{"rendered":"

Das World Wide Web soll sicherer werden \u2013 da sind sich die Browser-Entwickler einig und gehen schrittweise gemeinsam in entsprechende Richtungen. Zun\u00e4chst Google \u2013 der Suchmaschinenriese machte HTTPS zum Rankingfaktor<\/strong> \u2013 nun zieht Mozilla nach: das Open Source-Projekt verzichtet k\u00fcnftig auf das unverschl\u00fcsselte HTTP<\/strong> und wechselt in zwei Schritten zu HTTPS<\/strong>.<\/p>\n

<\/p>\n

Alle Funktionen k\u00fcnftig nur noch verschl\u00fcsselt<\/h3>\n

Richard Barnes, Sicherheitschef bei Mozilla, regte vor einigen Wochen in einer hitzigen Diskussion an, k\u00fcnftig auf HTTP als unverschl\u00fcsseltes Protokoll zu verzichten. Nun wird Mozilla konkret und verk\u00fcndet das Ende von HTTP offiziell<\/a>. Zwei Schritte<\/strong> sind f\u00fcr die Umstellung des l\u00e4ngerfristig dauernden Wechsels vorgesehen: zun\u00e4chst m\u00f6chte Mozilla einen Stichtag festlegen<\/strong>, ab dem s\u00e4mtliche neuen Browserfunktionen, <\/strong>die ebenfalls definiert werden sollen, ausschlie\u00dflich von durch SSL-Zertifikate verschl\u00fcsselte Websites genutzt<\/strong> werden k\u00f6nnen. In einer l\u00e4ngerfristig ausgelegten Planung k\u00f6nnten bestehende Funktionen zudem f\u00fcr unverschl\u00fcsselte Websites begrenzt werden<\/strong>. In den HTTPS-FAQ<\/a> (PDF) verspricht Mozilla jedoch: \u201ewas auch immer eure Website heute macht, wird auch noch in Monaten oder Jahren funktionieren\u201c. Mozilla vollzieht die Umstellung also eher gem\u00e4chlich, sodass Sie gen\u00fcgend Zeit bekommen, sich jetzt f\u00fcr passende SSL-Zertifikate<\/a> zu entscheiden. Entscheidungshilfe erhalten Sie von uns kostenfrei: mit unserem SSL-Vergleich<\/a> finden Sie z\u00fcgig und g\u00fcnstig zu Ihrem SSL-Zertifikat.<\/p>\n

Barnes w\u00e4gt zwischen Kompatibilit\u00e4t und Sicherheit ab<\/h3>\n

Barnes m\u00f6chte keinesfalls Websites in ihrer Funktionalit\u00e4t beschneiden<\/strong>, sondern er betont in der Verk\u00fcndung, zwischen Sicherheit und Kompatibilit\u00e4t abw\u00e4gen zu wollen. Jede \u00c4nderung wolle Mozilla so rechtzeitig ank\u00fcndigen<\/strong>, dass Website-Betreiber gen\u00fcgend M\u00f6glichkeiten h\u00e4tten zu handeln. Barnes kann sich auch vorstellen, HTTP-Verbindungen<\/strong> bei entsprechenden Funktionen nicht ins Nirwana laufen zu lassen, sondern eine eingeschr\u00e4nkte Funktionalit\u00e4t w\u00e4hrend der Umstellung<\/strong> zu gew\u00e4hrleisten.<\/p>\n

Beispielsweise lie\u00dfen sich dauerhafte Ausnahmen komplett unterbinden<\/strong>, w\u00e4hrend jedoch einmaliges sowie vom Anwender best\u00e4tigtes Zugreifen<\/strong> m\u00f6glich<\/strong> w\u00e4re. Insbesondere sollen jene Funktionen eingeschr\u00e4nkt werden, die in Zusammenhang mit Privatsph\u00e4re und Sicherheit stehen<\/strong>. HTTP-URLs sollen k\u00fcnftig weiterhin Bestand haben: via HSTS werden sie automatisiert in HTTPS-Anfragen umgewandelt, wenn eine entsprechende Website verschl\u00fcsselte Anfragen grunds\u00e4tzlich unterst\u00fctzt.<\/p>\n

Die \u00fcblichen Einw\u00e4nde gegen HTTPS: vergessen Sie diese!<\/h3>\n

In den HTTPS-FAQ geht Barnes auch auf die \u00fcblichen Einw\u00e4nde gegen\u00fcber HTTPS<\/strong> ein, die in aller Regel auf Missverst\u00e4ndnissen beruhen. Auch wir haben dieses Thema bereits in einem Artikel n\u00e4her betrachtet \u2013 lesen Sie dazu gerne unseren Beitrag \u201eHTTPS f\u00fcr besseres Google-Ranking \u2013 ist Verschl\u00fcsselung zu teuer und zu komplex?<\/a>\u201c, der mit diversen Vorurteilen aufr\u00e4umt und Ihnen aufzeigt, wie einfach Sie an eine sichere und vor allem zukunftsf\u00e4hige Website kommen<\/strong> \u2013 denn: Sie k\u00f6nnen und m\u00fcssen sogar bei allen Browser-Entwicklern mit entsprechenden \u00c4nderungen rechnen.<\/p>\n

Haben Sie Fragen zu diesem Thema? Gerne diskutieren wir mit Ihnen in den Kommentaren.<\/p>\n

Update: Mozilla verbannt SSLv3 und RC4 aus Firefox<\/h3>\n

Firefox ist in der Version 39 erschienen; dennoch etwas versp\u00e4tet, da noch ein Fehler korrigiert<\/a> werden musste. Mit dem Update konnte Mozilla insbesondere die Sicherheitsaspekte des Browsers optimieren: das veraltete und verwundbare Protokoll SSLv3<\/a> wurde entfernt und die ebenfalls veraltete Verschl\u00fcsselung RC4 deaktiviert. Eine Ausnahme existiert f\u00fcr\u00a0Hosts auf Whitelists. Die IETF hatte im Februar daf\u00fcr gesorgt<\/a>, den Einsatz der RC4-Stromverschl\u00fcsselung in TLS zu unterbinden.<\/p>\n

Neu in der Firefox-Version 39 ist zudem der Malware-Schutz f\u00fcr Mac- und Linux-User: Dateien mit den Endungen .pkg, .dmg, .osx sowie .app werden nun analysiert. Beim Programmdownload \u00fcberpr\u00fcft Firefox dar\u00fcber hinaus die Signaturen und gleicht Informationen mit der Safe-Browsing-Datenbank von Google<\/a> ab. Mozilla spendiert Mac-Usern au\u00dferdem ein Plus an Usability: Animationen werden sch\u00f6ner dargestellt, ein weicheres Scrolling soll das Handling optimieren. S\u00e4mtliche Neuerungen k\u00f6nnen Sie in den Release Notes<\/a> und in den Entwickler-Hinweisen<\/a> nachlesen.<\/p>\n