Mozillaは11月17日(米国時間)、Webブラウザ「Firefox」の最新版となる「Firefox 83」をリリースした。Mozillaのセキュリティチームが運営するMozilla Security Blogでは、「Firefox 83 introduces HTTPS-Only Mode - Mozilla Security Blog」において、新たに搭載された「HTTPS-Onlyモード」について解説している。このモードを有効にすると、FirefoxはHTTPSに対応していないWebサイトへの接続をブロックするようになり、ユーザーの安全性を高めることができる。
HTTPSは、SSL/TLSによる暗号化を組み合わせることによってHTTP通信を安全に行うためのプロトコルである。HTTPSを利用した通信では、送受信されるデータが暗号化によって保護されるため、第三者による通信内容の盗聴や改竄を防止することができる。現時点でインターネット上の大半のサイトがHTTPSによる通信をサポートしているが、依然としてHTTPでしかアクセスできないサイトもあり、ユーザーの安全性を妨げる要因となっている。
Firefox 83に新たに搭載されたHTTPS-Onlyモードでは、ユーザーがHTTPのリンクをクリックしたり、アドレスバーにHTTPのURLを入力してアクセスしたりしようとした場合に、強制的にHTTPS通信にアップグレードを試みる。さらに、対象がHTTPSに対応していないサイトであった場合は、通信をブロックして安全な接続でない旨を警告する。
HTTPS-Onlyモードは、設定メニューの「プライバシーとセキュリティ」の項目で有効にすることができる。下図のように、すべてのウィンドウでHTTPS-Onlyモードを有効にする以外に、プライベートウィンドウのみで有効にすることもできる。
HTTPS-Onlyモードが有効な状態でHTTPのサイトにアクセスすると、次のように通信がブロックされて警告が表示される。安全な接続でないことを確認した上で、それでもアクセスしたい場合はそのまま[HTTP サイトを開く]ボタンをクリックすれば、該当のサイトのみ一時的にHTTPS-Onlyモードを無効にしてアクセスすることができる。
また、アドレスバーの鍵マークをクリックして表示されるポップアップからも一時的なHTTPS-Onlyモードの解除が可能となっている。
Firefox 83ではデフォルトではHTTPS-Onlyモードが無効になっているが、安全性を高めるためにぜひ有効化しておくことをお勧めしたい。
Firefox 83では、HTTPS-Onlyモードの他にも、JavaScriptエンジンの大幅な性能向上やタッチ操作によるピンチズームのサポート、Apple Siliconのサポートなどの変更が加えられている。