Quando digito example.com
senza alcuno schema nella barra del browser e premo Invio, viene interpretato come HTTP://example.com
, non HTTPS : //example.com
. Perché? E dove sono i piani per risolvere questo problema?
(Per essere chiari, sto parlando solo di indirizzi digitati / incollati provenienti da un utente "pigro", non di software- azioni definite come i seguenti URL relativi allo schema, window.location = "url"
ecc. E ovviamente digitare / incollare HTTP://example.com
deve comunque funzionare.)
MODIFICA : come alcune risposte sottolineano, i siti possono già per lo più raggiungere questo obiettivo con i reindirizzamenti + HSTS. Il vantaggio tecnico centrale sarebbe restringere il problema della prima connessione (risolto anche dal precarico HSTS ma che non può essere adattato a tutti i siti). Posso vedere come questa sia una debole giustificazione per rompere le cose adesso ; quello che mi interessa di più è se sarà un finale ovvio tra 5 anni? 10? 20?
Vedo diversi problemi durante il passaggio all'interpretazione predefinita di https:
-
Esperienza utente con siti che funzionano solo su http. L'impostazione predefinita di https mostrerebbe un errore, ma l'utente di solito non ha idea se dovrebbe funzionare, cioè se questo sito semplicemente non ha mai funzionato su https o si tratta di un attacco di downgrade.
Se la pagina di errore per questa situazione conterrà un semplice "intendevi http: ...?" link (*), gli utenti si abitueranno a cliccarlo su qualsiasi sito che non funziona e non abbiamo guadagnato molto (?). E se non è facile (ad es. L'utente deve modificare
https
->http
, gli utenti non utilizzeranno tale browser.EDIT : avrei dovuto chiarire che l'indicazione di errore deve essere diversa dall'andare esplicitamente a un indirizzo HTTPS che non è riuscito - questo scenario non è tanto "fallito" quanto "l'interpretazione sicura non ha funzionato". E per cominciare, anche " un errore soft "automaticamente su HTTP con una barra di avviso in alto sarebbe OK.
Ma penso che otteniamo ancora 3 cose: andare su un sito non protetto è un'azione consapevole, istruiamo gli utenti che HTTP non protetto è non normale e facciamo pressione sui siti per implementare https.
-
Inconveniente di dover digitare
http: //
in alcuni casi. IMO è stato completamente superato dalla comodità di non dover digitarehttps: //
in più casi. -
"Compatibilità" con l'impostazione predefinita storica. Non sono sicuro che sia racchiuso in uno standard, ma IMO è chiaro che dovremo cambiarlo un giorno , quindi non è uno spettacolo.
-
Politica / economia: il sistema CA ha i suoi problemi e i browser potrebbero essere riluttanti a fare pressioni sugli amministratori del sito perché li paghino (se altrimenti non vedono valore in questo). Ignoriamo i soldi per un momento e fingiamo che Let's Encrypt CA gratuito sia arrivato.
Capisco perché apportare la modifica in questo momento può essere controversa; quello che mi sconcerta è il motivo per cui non è ampiamente discusso come l'ovvio obiettivo a lungo termine, con qualche piano in scena a-la deprivazione dei certificati SHA-2 anche se forse più lento. Quello che vedo sembra presumere che http rimarrà predefinito praticamente per sempre:
-
La mossa di Chrome per nascondere
http: //
nella barra degli URL è un passo indietro. Il primo passo verso l'impostazione predefinita di https avrebbe dovuto essere la visualizzazione di http in rosso; in un secondo momento eventualmente passare a nasconderehttps: //
(mostrando solo il lucchetto verde) ... -
HSTS si muove nella giusta direzione ma con prudente attivazione per sito. È sia più debole che più forte: i siti scelgono di forzare https anche per URL http espliciti, senza che l'utente possa ricorrere per errori, ma l'RFC non menziona nemmeno l'idea che https potrebbe essere un valore predefinito globale , o che lo schema predefinito del browser sia la causa del problema bootsrap MITM.
-
Ho visto DNSSEC menzionato come futuro vettore per l'attivazione di tipo HSTS ma ancora una volta non ho mai visto proposte di rinuncia ...
Inoltre, ci sono browser (o estensioni) che offrono questa opzione?