Mentre è costretta a riabilitare l’uso dei certificati TLS 1.0 e 1.1 con un aggiornamento di emergenza a Firefox 74 a causa della pandemia di COVID-19, Mozilla lavora a un futuro in cui il browser del Panda Rosso potrà in teoria accedere solo ai siti protetti dalle comunicazioni cifrate su protocollo HTTPS.
Lo sviluppo della cosiddetta modalità HTTPS Only è già in cantiere ed è accessibile tramite una nuova preferenza implementata nelle release Nightly di Firefox 76; al debutto nella release stabile del browser, la funzionalità non dovrebbe essere abilitata di default per via dei potenziali disagi provocati all’esperienza di navigazione degli utenti.
In maniera parzialmente simile ad HTTPS Everywhere, HTTPS Only intercetterà tutti i tentativi di connessione tramite HTTP forzando il passaggio alla modalità HTTPS: in questo modo la comunicazione tra client e server dovrebbe essere al riparo da possibili tentativi di compromissione e furto di dati sensibili (credenziali di accesso, carte di credito ecc.).
Diversamente da HTTPS Everywhere, la funzionalità HTTPS Only proverà a caricare tutte le risorse di una pagina (CSS, script, immagini) tramite HTTPS; qualora ciò non fosse possibile, la risorsa accessibile solo in chiaro verrebbe silenziosamente blocca dal rendering della pagina. Per i siti ancora sprovvisti di certificato TLS, invece, HTTPS Only visualizzerebbe un alert invitando l’utente a “tornare indietro” per presunti (e del tutto ipotetici) rischi di sicurezza nell’uso del protocollo HTTP.
HTTPS Only dimostra ancora una volta l’allineamento quasi perfetto dei piani di sviluppo di Mozilla alle esigenze commerciali di Google, corporation che già da tempo ha dichiarato guerra al protocollo HTTP tramite l’onnipresente Chrome. Come evidenzia la riabilitazione di emergenza di TLS 1.0 e 1.1, il possibile addio ad HTTP potrebbe provocare problemi ben più gravi rispetto all’abbandono dello storico protocollo FTP.