Αναβάθμιση συνδέσεων από HTTP σε HTTPS στο Firefox

Firefox, Firefox for Android Firefox, Firefox for Android Τελευταία ενημέρωση: 2 days, 7 hours ago

Όταν περιηγείστε στον ιστό με το Firefox, το πρόγραμμα περιήγησης μπορεί αυτόματα να αναβαθμίσει τη σύνδεσή σας από το λιγότερο ασφαλές πρωτόκολλο HTTP στο πιο ασφαλές πρωτόκολλο HTTPS. Αυτό διασφαλίζει ότι οι ιστότοποι που επισκέπτεστε είναι αξιόπιστοι και ότι οποιαδήποτε πληροφορία στέλνετε, όπως κωδικοί πρόσβασης ή προσωπικά δεδομένα, είναι κρυπτογραφημένη και προστατευμένη από υποκλοπή. Εφόσον οι περισσότεροι ιστότοποι σήμερα υποστηρίζουν το HTTPS, αυτή η αναβάθμιση συνήθως γίνεται χωρίς προβλήματα. Ακόμα κι αν ένας σύνδεσμος χρησιμοποιεί την παλαιότερη μορφή http://, το Firefox θα προσπαθήσει να συνδεθεί με ασφάλεια μέσω HTTPS, καθώς πολλοί παλαιότεροι σύνδεσμοι εξακολουθούν να υπάρχουν, παρ' όλο που οι ίδιοι οι ιστότοποι υποστηρίζουν πλέον το HTTPS. Αυτό βοηθά στη διατήρηση μιας απρόσκοπτης και ασφαλούς εμπειρίας περιήγησης.

Ποια είναι η διαφορά μεταξύ του HTTP και του HTTPS;

Το HTTP σημαίνει Hypertext Transfer Protocol (Πρωτόκολλο Μεταφοράς Υπερκειμένου) και αποτελεί το θεμελιώδες πρωτόκολλο του διαδικτύου. Κωδικοποιεί βασικές αλληλεπιδράσεις ανάμεσα στα προγράμματα περιήγησης και τους διακομιστές ιστού. Το πρόβλημα με το κλασικό πρωτόκολλο HTTP είναι ότι τα δεδομένα που μεταφέρονται από τον διακομιστή στο πρόγραμμα περιήγησης δεν είναι κρυπτογραφημένα, πράγμα που σημαίνει ότι είναι δυνατή η προβολή, η υποκλοπή ή η τροποποίηση τους. Το πρωτόκολλο HTTPS διορθώνει αυτό το πρόβλημα χρησιμοποιώντας ένα πιστοποιητικό TLS (Transport Layer Security) ή, παλαιότερα, SSL (Secure Sockets Layer). Με αυτόν τον τρόπο, δημιουργείται μια ασφαλή, κρυπτογραφημένη σύνδεση μεταξύ του διακομιστή και του προγράμματος περιήγησης, η οποία προστατεύει τις ευαίσθητες πληροφορίες.

Διαφορετικοί μηχανισμοί αναβάθμισης

Οι μηχανισμοί αναβάθμισης των συνδέσεων μπορούν να ομαδοποιηθούν με βάση δύο παράγοντες:

  1. Ποια πλευρά ξεκινά την αναβάθμιση (το πρόγραμμα περιήγησης ή ο διακομιστής ιστού).
  2. Τον τύπο της σύνδεσης που αναβαθμίζεται. Οι παρακάτω ενότητες εξηγούν λεπτομερώς αυτούς τους μηχανισμούς.

Αναβαθμίσεις που εκκινεί ο διακομιστής

Όταν ένας διακομιστής ιστού υποδεικνύει ότι υποστηρίζει το HTTPS, το πρόγραμμα περιήγησης μπορεί αυτόματα να μεταβεί σε μια ασφαλή σύνδεση. Ο διακομιστής μπορεί να χρησιμοποιήσει διάφορες μεθόδους για να το πετύχει αυτό:

  • Το πρότυπο HSTS (HTTP Strict Transport Security) επιτρέπει στους ιστοτόπους να γνωστοποιούν στο πρόγραμμα περιήγησης ότι υποστηρίζουν ασφαλείς συνδέσεις και το πρόγραμμα περιήγησης θα το θυμάται για μελλοντικές συνδέσεις. Υποστηρίζεται από μια ενσωματωμένη λίστα τέτοιων ιστότοπων, τη λίστα προφόρτωσης HSTS.
  • Οι εγγραφές πόρων HTTPS (HTTPS Resource Records ή «HTTPS RR») είναι ειδικές καταχωρήσεις DNS που ενημερώνουν ένα πρόγραμμα περιήγησης ότι ένας διακομιστής ιστού υποστηρίζει το πρωτόκολλο HTTPS.
  • Αν και δεν αποτελεί τεχνικά αναβάθμιση σύνδεσης, πολλοί ιστότοποι ανακατευθύνουν τις συνδέσεις HTTP σε HTTPS χρησιμοποιώντας τους κωδικούς κατάστασης ανακατεύθυνσης, όπως το «301 Moved Permanently».

Αναβαθμίσεις που εκκινεί το πρόγραμμα περιήγησης

Αν το πρόγραμμα περιήγησης δεν μπορεί να προσδιορίσει εάν ένας διακομιστής ιστού υποστηρίζει το HTTPS, μπορεί ακόμα να προσπαθήσει να αναβαθμίσει τη σύνδεση. Επειδή το HTTPS υποστηρίζεται ευρέως, αυτή η διαδικασία συχνά είναι επιτυχής. Το Firefox υποστηρίζει διάφορες δυνατότητες αναβάθμισης που ξεκινούν από το πρόγραμμα περιήγησης:

  • Ξεκινώντας από την έκδοση 136 του Firefox, η λειτουργία HTTPS-First διασφαλίζει ότι όλες οι συνδέσεις προσπαθούν να χρησιμοποιήσουν πρώτα το HTTPS, προτού επιστρέψουν στο HTTP σε περίπτωση αποτυχίας. Με αυτόν τον τρόπο, θα επιλέγεται πάντα η πιο ασφαλής επιλογή, χωρίς να διακόπτεται η περιήγηση των χρηστών.

Αυτή η δυνατότητα είναι πειραματική και η κυκλοφορία της γίνεται σταδιακά στη βάση χρηστών του Firefox. Ενδέχεται να μην είναι ακόμα διαθέσιμη σε όλους τους χρήστες.

  • Η λειτουργία «Μόνο HTTPS» είναι μια ρύθμιση που μπορούν να ενεργοποιήσουν οι χρήστες για να διασφαλίσουν ότι το Firefox δεν θα πραγματοποιήσει ποτέ μια μη ασφαλή σύνδεση, χωρίς να ενημερώσει πρώτα τον χρήστη. Επειδή οι περισσότεροι ιστότοποι υποστηρίζουν πλέον το HTTPS, οι χρήστες ενδέχεται να βρουν τις συχνές προτροπές της λειτουργίας «Μόνο HTTPS» ενοχλητικές όταν συναντούν ιστότοπους HTTP. Για τον λόγο αυτό, δεν είναι ενεργοποιημένη από προεπιλογή.
  • Υπάρχουν αρκετές επεκτάσεις που εκτελούν κάποιου είδους αναβάθμιση συνδέσεων. Συνήθως εξυπηρετούν πολύ συγκεκριμένες περιπτώσεις που αφορούν τους έμπειρους χρήστες.

Άλλα αιτήματα

Οι μηχανισμοί που περιγράφονται παραπάνω ισχύουν κυρίως για αιτήματα «ανωτάτου επιπέδου» ή πλοήγησης, όπως η πληκτρολόγηση μιας διεύθυνσης URL στη γραμμή διευθύνσεων ή το κλικ σε έναν σύνδεσμο. Το Firefox χειρίζεται επίσης κι άλλους τύπους αιτημάτων, όπως η λήψη εικόνων ή άλλων δευτερευόντων πόρων για μια ιστοσελίδα. Αν και η λειτουργία «Μόνο HTTPS» στο Firefox ισχύει για όλα τα αιτήματα, οι δευτερεύοντες πόροι αναβαθμίζονται συνήθως χρησιμοποιώντας τους ακόλουθους μηχανισμούς:

  • Η οδηγία upgrade-insecure-requests της πολιτικής Content Security Policy (CSP) σε μια ιστοσελίδα θα αναβαθμίσει τα αιτήματα των δευτερευόντων πόρων.
  • Ο αλγόριθμος Mixed Content διασφαλίζει ότι, εάν το αίτημα ανωτάτου επιπέδου για έναν ιστότοπο ήταν κρυπτογραφημένο, είτε θα γίνει ασφαλής φόρτωση των δευτερευόντων πόρων είτε θα αποκλειστεί η σύνδεση.

Αυτοί οι υπέροχοι άνθρωποι βοήθησαν στη σύνταξη αυτού του άρθρου:

Jim Spentzos, George Kitsoukakis
Illustration of hands

Συμμετοχή

Μοιραστείτε την εμπειρία σας με άλλους χρήστες. Απαντήστε σε ερωτήσεις και βελτιώστε τη γνωσιακή βάση μας.

Μάθετε περισσότερα