Mozilla Firefox 37, la cifratura è opportunistica

Mozilla ha annunciato una nuova versione del suo browser per desktop e dispositivi mobile. Firefox 37 per Windows, Mac, Linux e Android condividono la novità più importante relativa alla sicurezza, ovvero la cifratura opportunistica. Questo è il nome assegnato alla funzionalità che permette di proteggere la navigazione attraverso la crittografia, anche quando i server non supportano il protocollo HTTPS.

La Opportunistic Encryption (OE) è parte del protocollo HTTP 2.0, quindi non viene sfruttata dai server che usano ancora lo standard HTTP 1.0. La nuova funzionalità rappresenta un ponte tra le connessioni in chiaro su HTTP e le connessioni HTTPS basate su SSL/TLS. In quest’ultimo caso, i gestori dei siti devono richiedere un certificato digitale che viene usato per l’autenticazione della connessione. La cifratura opportunistica, invece, non prevede l’autenticazione e quindi il certificato può essere self-signed.

È necessario però configurare correttamente il server per effettuare il routing delle richieste su un porta diversa dalla porta 80, usata per il traffico in chiaro. Mozilla sottolinea che la OE offre una protezione contro gli attacchi passivi (sorveglianza), non contro attacchi man-in-the-middle, che possono essere bloccati solo con il protocollo HTTPS.

Firefox 37 per desktop supporta inoltre le ricerche cifrate con Bing e il nuovo sistema di rating Heartbeat. Ogni giorno, Mozilla selezionerà casualmente un gruppo di utenti, ai quali verrà mostrato un widget che consente di assegnare un punteggio al browser (da 1 a 5 stelle). È comunque possibile disattivare Heartbeat in about:config.

Su entrambe le versioni è stata implementata la revoca dei certificati mediante la lista OneCRL e impostato Yandex come motore di ricerca predefinito per gli utenti turchi. Su Android sono state migliorate le prestazioni dei download, grazie al nuovo back-end.