Firefox 83 ～新機能HTTPS-Onlyモードを試す！

 

Firefoxがアップデートされ、最新版は、バージョン83となりましたが、その新機能として、HTTPS-Onlyモードが追加されました。

ざっくり言えば、WebサイトとWebブラウザ間の通信手順を定義するhttp(Hyper Text Transfer Protocol）を、よりセキュア―なものにするために通信内容をSSL/TLSを使って暗号化したものがhttpsであり、このアクセス制御機構がFirefox 83のHTTPS-Onlyモードとなります。HTTPS-Onlyモードにより、通信経路において第三者からの通信内容の閲覧・改竄を防止する事ができます。

サイト全体のhttps化はWebサーバー構築上の常識となっている現在ですが、未だ、これに対応していないサイトも数多く見受けられます。

今回追加されたFirefox 83のHTTPS-Onlyモードは、通信内容が暗号化されないwebサイト(https未対応のWebサイト）にアクセスした際、その故の警告メッセージを出力します・・が、Firefox 83が当該サイトに対しアクセスを完全にシャットアウトするわけはない点に注意が必要です。

例えば、Firefox 83のHTTPS-OnlyモードをOnにして、まだhttps化されていないwebサイト(http://www.・・・）にアクセスすると・・

安全な通信ではない旨警告メッセージが出力されますが、同時に、一時的にHTTPS-Onlyモードを解除して、当該webサイトにアクセスする事も可能にしています。基本的には"戻る"ボタンを押してアクセスしない・・というのが無論セキュリティ上安全ですけど・・。

Firefox 83のHTTPS-Onlyモードは当初Offの状態です。Onにする手順は以下の通りです。

Firefoxのメニュー→"オプション"→"プライバシーとセキュリティ"設定の最後にHTTPS-Onlyモードの設定が追加されています。選択肢として、”すべてのウィンドウでHTTPS-Onlyモードを有効にする”、”プライベートウィンドウでHTTPS-Onlyモードを有効にする”、”HTTPS-Onlyモード”を有効にしない”の3種類があります。

一般的には、以下のように、”すべてのウィンドウでHTTPS-Onlyモードを有効にする”にチェックを入れ、https化されていないサイトにアクセスを行おうとした際に、警告メッセージを出すようにした方が無難です。

今回のFirefoxのHTTPS-Onlyモードは、Chromeとはまた異なるアプローチですが、セキュリティの観点でwebブラウザー開発側は、https化されていないwebサイトへのアクセス抑制をさらに進めていくものと思われますので、まだ、https化していないwebサイト運営者は早めの対処が必要です。

また、通信経路において第三者からの改竄・閲覧を防止するため、Firefox利用者は、本機能をOnにした方が良いと思います。