В свежей бета-версии Firefox реализован механизм принудительной установки соединения HTTPS для сайтов, которые поддерживают работу по защищённому протоколу. Данная функция известна как HSTS (HTTP Strict Transport Security) и её планируют сделать стандартом по умолчанию в будущей версии протокола HTTP/2.0, но сейчас большинство браузеров работают по старинке и стандартно подключаются по незащищённому каналу, если пользователь ввёл соответствующий URL в адресной строке браузера.
Разработчики Firefox не просто реализовали поддержку HSTS, но и дополнительно защитили пользователей от атак типа MiTM, когда злоумышленник потенциально может предотвратить установку защищённого соединения с сайтом и специально направить браузер по незащищённому соединению с целью дальнейшего мониторинга трафика. В роли «злоумышленника» могут быть правоохранительные органы, государственные цензоры и другие агенты, которые заинтересованы в контролировании действий пользователей. Для этого им требуется просто вырезать из трафика соответствующие пакеты, которые используются для установки соединения по SSL/TLS. В соответствии со стандартом HSTS, тогда браузер решит, что сервер не поддерживает HTTPS, и должен установить соединение по обычному каналу. Так вот, разработчики Firefox предусмотрели такой сценарий атаки и оснастили бета-версию Firefox списком сайтов, которые точно поддерживают HTTPS. С сайтами из этого списка браузер ни в коем случае не будет устанавливать соединение по открытому каналу. Это очень грамотное решение, похожее на алгоритм действий известного расширения HTTPS Everywhere, которое распространяет Фонд электронных рубежей (EFF).
Этот «белый список» Firefox автоматически пополняет сайтами, с которыми хотя бы однажды было установлено соединение по HTTPS, при условии, что в заголовке HSTS указано достаточно большое значение max-age: на текущий момент оно должно быть равно или больше 10886400 (18 недель). Это нужно для гарантии, что сайт не намерен отказываться от поддержки HSTS в будущем. Хотя, по стандарту, это не обязательно. В соответствии со спецификациями, если владельцы сайта по каким-то причинам решили отказаться от поддержки HSTS, то они всё равно должны возвратить браузеру соответствующий ответ на запрос, но со значением max-age=0, так что браузер может вычеркнуть данный сайт из списка на «принудительную защиту».
Интересно, что ограничение на минимально необходимое значение max-age автоматически вычёркивает из белого списка Paypal, у которого max-age=14400.
Аналогичный механизм защиты с «белым списком» уже реализован в браузере Chrome.
