HTTPS Everywhere bientôt à la retraite : et maintenant ?

Fin de parcours imminente pour HTTPS Everywhere ? L’engrenage est en tout cas lancé. Première étape sur le calendrier d’extinction : le passage de l’extension « en mode maintenance ». Ce sera l’an prochain.

Voilà un peu plus de dix ans que l’initiative HTTPS Everywhere a pris corps, sous l’impulsion du projet Tor et de l’Electronic Frontier Foundation. Objectif : activer automatiquement le HTTP sécurisé sur les sites qui le prennent en charge.

L’extension fonctionnait initialement sur Firefox. Aujourd’hui, elle est disponible sur Chrome, Edge, Opera… et Brave, qui l’embarque de série. Mais elle se fait moins « nécessaire » à l’heure où ces navigateurs commencent à implémenter nativement sa principale fonctionnalité.

La plupart de ces implémentations ne sont, pour le moment, pas actives par défaut. Et elles proposent différentes approches (cliquer sur les images pour les agrandir).

• Chrome (à activer via « Confidentialité et sécurité » -> « Sécurité ») :
  
• Firefox (à activer via « Vie privée et sécurité ») :
  
• Edge (à activer via un drapeau, puis « Confidentialité, recherche et services ») :
  
• Safari : activé par défaut à partir de la version 15

Si elle projette désormais explicitement l’obsolescence de HTTPS Everywhere, l’EFF ne l’enterre pas encore totalement. Elle insiste sur la possible coexistence avec les modes natifs des navigateurs, au nom des capacités supplémentaires qu’offre l’extension. Entre autres, la définition d’exemptions et la personnalisation des règles.

Sur ce dernier point, un autre chantier important est en cours. En l’occurrence, l’abandon des règles internes, à la faveur de celles de DuckDuckGo Smarter Encryption. Une solution plus automatisée – fondée sur les robots indexeurs de DuckDuckGo – qui élargit le périmètre couvert. Tout en anticipant la limitation prochaine, sur Chrome, de la quantité de règles sur lesquelles les extensions pourront reposer.

Illustration principale © Chris – Adobe Stock