HTTPS Everywhere est une extension Firefox éditée par l'Electronic Frontier Foundation qui permet de remplacer automatiquement l'URL d'un site web par son équivalent HTTPS. Ce n'est pas forcément simple parce que pour beaucoup de sites, il ne suffit pas d'ajouter un s à http. Par exemple, jusqu'à récemment, la version HTTPS de Google n'était accessible que sur https://encrypted.google.com.

L'extension maintient donc une base de données pour effectuer les correspondances. Cette version 2.0.1 apporte une base plus grande (404 nouvelles règles depuis la version 1.2.2) mais aussi un Decentralized SSL Observatory (observatoire SSL décentralisé) qui permet d'envoyer de manière anonyme les certificats à une base de données de l'EFF pour qu'ils soient étudiés par cette dernière afin de détecter les éventuelles failles. L'observatoire permet aussi de signaler les éventuels problèmes en temps réel. Pour l'instant seuls les certificats qui ont été générés à partir d'une clef privée faible — à cause d'une machine ayant un générateur de nombre aléatoire buggé — sont signalés. Enfin, cette version 2 fonctionne désormais aussi sur le navigateur de Google : Chrome.

NdA : Merci à detail_pratique pour son aide lors de la rédaction de cette dépêche.

Non, il ne s’agit pas d’un nouveau concurrent pour Tor (réseau) ou Freenet. Il s’agit juste d’un outil pour les personnes auto‐hébergées qui voudraient accéder à tous leurs services de n’importe où.

Cette dépêche explique son fonctionnement et ce qu’apporte sa dernière version.

HTTP Strict Transport Security, ou HSTS, est un brouillon de norme Internet qui propose une méthode pour augmenter la sécurité des sites web en apportant une solution à une faille courante située entre la chaise et le clavier.

Il s'agit pour les sites web sécurisés d'indiquer au navigateur qu'il doit systématiquement forcer l'accès en HTTPS.