Plusieurs extensions de Firefox permettent de protéger nos connections SSL avec nos sites préférés. En voici quelques unes:
- HTTPS-Everywhere
- Force-HTTPS
- Force-TLS
De nombreux sites offrent un support limité de l’encryption avec HTTPS. Ils peuvent par exemple proposer HTTP par défaut ou remplir des pages encryptées avec des liens non encryptés. Ce type d’extensions essaie de résoudre ces problèmes en redirigeant toutes les requètes vers HTTPS.
HTTPS-Everywhere
Cette extension peut être installée à partir de https://www.eff.org/deeplinks/2010/06/encrypt-web-https-everywhere-firefox-extension en cliquant sur "this link"
Les sites pris en compte par HTTPS-Everywhere sont ceux disponibles dans Modules complémentaires / HTTPS-Everywhere / Options
HTTPS-Everywhere permet par exemple de convertir automatiquement http://www.google.com/ en https://www.google.com/ ou bien de convertir http://twitter.com/ en https://twitter.com/
Pour ajouter un nouveau site que l’on souhaite protéger, le process est décrit sur: https://www.eff.org/https-everywhere/rulesets
J’ai essayé de créer un répertoire HTTPSEverywhereUserRules sous “C:\Program Files\Mozilla Firefox\defaults\profile” et d’y ajouter un fichier monsite.xml contenant:
<ruleset name="monsite"><rule from="^http://www.monsite.com" to="https://www.monsite.com"/></ruleset>
Mais la règle ne semble ne pas être prise en compte avec la version 0.1.1 de HTTPS-Everywhere
Force-HTTPS
Collin Jackson et Adam Barth ont définit les spécifications de Force-HTTPS dans https://crypto.stanford.edu/forcehttps/
et ils ont également réalisé une implémentation de leur solution avec ForceHTTPS 0.4.4
ForceHTTPS 0.4.4 ne fonctionne malheureusement pas avec mon Firefox 3.5.10 (j’ai un problème de vérification de signature)
Force-TLS
Force-TLS s’inspire ouvertement des spécifications de ForceHTTPS (Collin Jackson et Adam Barth)
L’installation de Force-TLS se fait via les Modules complémentaires de Firefox
Comme HTTPS-Everywhere, Force-TLS permet de convertir automatiquement http://www.facebook.com/ en https://www.facebook.com/ (si Force-TLS a été configuré pour gérer le site “facebook”)
La configuration d’un site se fait dans Firefox:
- Soit via Outils / ForceTLS Configuration
- Soit, la première fois que l’on accède à notre site, via
Outils / Information sur la page / Permissions en cochant Secure Connection / Always access content from this site securely
ainsi que Require HTTPS on subdomains too.
Qu’un peu plus de sécurité vous accompagne!
