HTTPS everywhere erzwingt den Aufruf von Webseiten über eine verschlüsselte Verbindung (HTTPS), wenn diese angeboten wird. So ist der Großteil der angesurften Webseiten nicht für Dritte (also Provider und andere Stellen) zu lesen.

Die meisten Webserver bieten mittlerweile den Abruf der Webseiten über einen verschlüsselten Kanal an. Dies zeigt der Browser dann über eine farbliche Markierung in der Adresszeile an. Aber dennoch gibt es zahlreiche Seiten, die das nicht können (entweder, weil die Anbieter es nicht besser wissen, weil es vom Hostingprovider unverhältnismäßig teuer ist, ein Zertifikat einzurichten, oder weil es in dem Land schlicht verboten ist).

Die anderen bieten es zwar an, aber leider kommt es dann doch vor, dass automatisch der unverschlüsselte Kanal ausgewählt oder aufgerufen wird.
HTTPS everywhere versucht, dies zu verhindern. Dafür gibt es zwei Gründe. Zum Einen sollte möglichst viel Datenverkehr verschlüsselt über das Internet geleitet werden. Zum Anderen wird, je mehr Datenverkehr verschlüsselt passiert, der wirklich wichtige Verkehr durch eher unwichtigen retuschiert.

Unverschlüsselte Kanäle können sich auf die Hauptseite, aber auch auf Nebenaufrufe beziehen. Ruft man in einer Seite also eine unverschlüsselte Unterseite oder eine Seite eines anderen Servers auf, sind viele der Bemühungen um Sicherheit zunichte gemacht. HTTPS everywhere schreibt den Webseitencode von ihm bekannten Seiten vor der Ausführung um und lenkt den Verkehr damit auf verschlüsselte Kanäle, wenn diese bestehen!
HTTPS Everywhere zeigt in verschiedenen Farben, was es tut. Hellblau bedeutet, dass es aktiv ist, dunkelblau zeigt, dass es in der aktuellen Seite aktiv ist, rot verbietet jeden unverschlüsselten Aufruf und grau zeigt, dass es abgeschaltet ist.

Bietet ein Webserver keine oder nur teilweise Verschlüsselung, dann versagt auch HTTPS everywhere. Dieses Problem taucht erstaunlicherweise häufig bei Shoppingseiten auf, bei denen dann nur Teile der Seite (etwa die Bereiche des Bestellvorgangs) verschlüsselt werden, andere Teile hingegen nicht. Mitlesende können dann immernoch eine Menge über den Bestellvorgang erfahren, wenn zum Beispiel in einer Bestätigungsseite die Bestellung noch einmal aufgelistet wird.

Eine Abhilfe besteht dann darin, dass HTTPS everywhere den Aufruf unverschlüsselter Webseiten komplett verbietet. Das muss explizit eingestellt werden. Ich gebe aber zu, dass ich das bisher nicht ausprobiert habe.

  • Pro: Leitet allen Verkehr über verschlüsselte Verbindungen, wenn diese existieren
  • Contra: Bietet Hilfe nur, wenn Webserver https anbieten. Blockt nur auf Wunsch unverschlüsselten Datenverkehr

Link: