So jedenfalls in der Theorie. In der Praxis ist HTTPs Everywhere auf Firefox beschränkt, denn nur für diesen existiert diese Erweiterung. Ein eventuell vorhandenes SSL/TLS per se kann natürlich jeder haben, sofern unterstützt, allerdings ohne den mit dieser Erweiterung einhergehendem Automatismus. Aber ein https:// sollte von den meisten noch nachvollziehbar sein.
Tatsächliches Problem aber ist diese angestrebte Verschlüsselung. Viele, die SSL/TLS einsetzen, wissen nicht um die Tücken von SSL/TLS. Auch dem Redakteur von golem war dies wohl nicht bewußt als er schrieb: Von da an werden alle Anfragen an Wikipedia und die entsprechenden Ergebnisse zwischen dem Browser und dem Wikipedia-Server abhörsicher verschlüsselt. Denn erstens wird eben in der Regel nicht jegliche Kommunikation mit dem Server verschlüsselt und sobald man beispielsweise bei der Wikipedia Bildmaterial anwählt, verläßt man den sicheren Hafen, denn konsistent wurde SSL/TLS dort nicht umgesetzt. Es sind Kleinigkeiten, Kleinigkeiten, die jedoch bei einem Personenkreis mit einem tatsächlichen Sicherheitsbedürfnis schnell einen gewaltigen Kolateralschaden nach sich ziehen können. Somit sind beispielsweise ebenso Rückschlüsse möglich, welche Seiten man en detail besuchte — auch derart läßt sich ein Profil erstellen. Bei den Microbloggingdiensten Twitter und identi.ca schaut es nicht anders aus, Facebook wechselt mal gerne von https nach http und vice versa, etc. pp. Etwaige Werbung und Statistikmodule führen den Anspruch von SSL/TLS ohnehin gleich mal wieder ad absurdum.
Was bleibt? Nun eine verschlüsselte Suche beispielsweise bei Google, Google aber weiß was man gesucht hat und vor allem wer dies getan hat. Ebenso weiß auch Facebook, was wer wo auf deren Server treibt. Bleibt also die Frage vor wem man sich schützen möchte? Vor den Augen der größten Datenakquisiteure Google und Facebook etwa? Oder möchte man Vater Staat ausweichen? Letzterer kann natürlich auch ein Profil ob diverser Inkonsistenzen bei der Verschlüsselung erstellen oder dieser tritt einfach beispielsweise an Google heran, wie just bei Google Streetview geschehen, und verlangt Auskunft.
EFF weist natürlich auf ein Teil dieser Problematik im Zusammenhang mit SSL/TLS hin: As always, even if you’re at an HTTPS page, remember that unless Firefox displays a colored address bar and an unbroken lock icon in the bottom-right corner, the page is not completely encrypted and you may still be vulnerable to various forms of eavesdropping or hacking (in many cases, HTTPS Everywhere can’t prevent this because sites incorporate insecure third-party content). Aber selbst in den Medien, wie man anhand von Golem sieht, kam dies nicht wirklich an.
Sicherheit ist kein Plugin oder irgendeine PFW in Windows, Sicherheit ist ein Konzept. Ein Konzept, daß nie 100% Sicherheit garantieren kann, dennoch aber konsequent durchdacht sein sollte, um nicht schon die Basis nachaltig zu kompromitieren.
Last but not least, Golems Einwurf mit veralteten oder nicht korrekt erstellten Zertifikaten ist nur die halbe Miete, denn auch Firefox ist nicht allwissend und so manche Warnung entpuppte sich im Nachhinein als Fehler des Browsers. Wie schon erwähnt, ich halte von derlei Automatismen nicht viel, verführen sie doch zu dem Irrglauben omnipotente Sicherheit zu besitzen oder zumindest Sicher genug zu sein. In letzter Zeit wurde zudem vermehrt Kritik laut an der Vertrauenswürdigkeit diverser Zertifizierungsstellen.
Ich würde zur Tor raten — neben der Nutzung von SSL/TLS, man büßt zwar Komfort ein, aber man erhält ein gewaltiges Plus an Sicherheit, auch gerade gegenüber dem Server-Betreiber. SSL/TLS weckt Vertrauen, kann diesem aber in der Praxis meiner Meinung nach nur bedingt gerecht werden. Zumindest funktioniert es auch ohne Brain 1.0 nicht wirklich. Wer hingegen vermeint ein Plugin genügt kann auch gleich auf diesen verzichten, denn ein Konzept besitzt dieser keines, nur ein beruhigtes Gewissen.