Le Mozilla Firefox est un autre navigateur qui combat les sites qui n’utilisent pas de connexions cryptées. À partir de la version 70, dont la sortie est prévue en octobre, les utilisateurs accédant à toute page desservie par HTTP verront un cadenas rouge rayé dans la barre d’adresse pour signaler que la connexion n’est pas sécurisée.
Safari a adopté le même comportement depuis iOS 12.2 et macOS 10.14.4, publiés en mars. Chrome a commencé à faire la même chose dans la version 68, puis est allé plus loin, en arrêtant même de marquer les sites HTTPS comme sûrs. Dans la version stable actuelle, Firefox n’affiche l’alerte de sécurité que dans les pages HTTP qui contiennent des champs de login et de mot de passe.
L’objectif de l’affichage d’un indicateur négatif est de faire comprendre à l’utilisateur qu’une connexion n’est pas cryptée, puisque les gens remarquent la présence du verrou de sécurité sur les pages HTTPS, mais ne remarquent pas facilement son absence sur les sites HTTP.
Le changement est visible dans Firefox 70.0a1 (Nightly). Mais, comme le note gHacks, la fonction existe déjà dans les versions actuelles ? seulement elle n’est pas activée par défaut. Pour activer le nouveau comportement, il suffit d’aller dans about:config et de changer la valeur de configuration security.insecure_connection_icon.enabled en “True”.
Mozilla travaille sur cet indicateur depuis plus de trois ans. D’après les discussions, l’idée est qu’à l’avenir les sites HTTPS ne montreront même plus le verrou sur Firefox. Comme toujours, il convient de rappeler que HTTPS ne signifie pas site sécurisé : cela signifie simplement que vous avez une connexion privée (mais vous avez peut-être aussi une connexion privée avec le diable).
Les pages cryptées représentent déjà près de 80% de l’internet, selon les données de télémétrie de Mozilla. Les certificats SSL peuvent être obtenus gratuitement dans le cadre du projet Let?s Encrypt.