Aggiornamento delle connessioni in Firefox da HTTP a HTTPS

Firefox, Firefox for Android Firefox, Firefox for Android Ultima modifica: 1 settimana, 3 giorni ago

Quando si naviga sul web utilizzando Firefox, il browser potrebbe aggiornare automaticamente la connessione dal protocollo HTTP meno sicuro a quello HTTPS più sicuro. Ciò garantisce che i siti web che l'utente visita siano autentici e che qualsiasi informazione inviata dall'utente, come password o dati personali, sia crittata e protetta da intercettazioni. Poiché la maggior parte dei siti web oggi supporta il protocollo HTTPS, questo aggiornamento avviene solitamente senza problemi. Anche se un link utilizza il vecchio formato http://, Firefox potrebbe comunque tentare di connettersi in modo sicuro tramite HTTPS, poiché molti vecchi link esistono ancora nonostante i siti web stessi ora supportino il protocollo HTTPS. Ciò aiuta a mantenere l'esperienza di navigazione dell'utente fluida e sicura.

Qual è la differenza tra il protocollo HTTP e quello HTTPS?

HTTP sta per Hypertext Transfer Protocol ed è il protocollo fondamentale per il web e codifica le interazioni di base tra browser e server web. Il problema con il normale protocollo HTTP è che i dati trasferiti dal server al browser non sono crittati, il che significa che i dati possono essere visualizzati, rubati o alterati. I protocolli HTTPS risolvono questo problema utilizzando un certificato Transport Layer Security (TLS) o, precedentemente, Secure Sockets Layer (SSL). Questo crea una connessione crittata sicura tra il server e il browser che protegge le informazioni sensibili.

I diversi meccanismi di aggiornamento

I meccanismi di aggiornamento della connessione possono essere raggruppati in base a due fattori:

  1. Chi avvia l'aggiornamento (il browser o il server web).
  2. Il tipo di connessione in fase di aggiornamento.

I paragrafi seguenti spiegano questi meccanismi in dettaglio.

Aggiornamenti avviati dal server

Quando un server web indica che supporta il protocollo HTTPS, il browser può passare automaticamente a una connessione sicura. Il server può utilizzare diversi metodi per ottenere questo risultato:

  • L'HTTP Strict Transport Security (HSTS) è uno standard che consente ai siti web di comunicare al browser che supportano connessioni sicure e il browser lo ricorderà per le connessioni future. Lo standard HSTS è completato da un elenco integrato di tali siti, l'HSTS preload list (lista preliminare HSTS).
  • Le HTTPS Resource Records (HTTPS RR) sono voci DNS speciali (special DNS entries) che indicano a un browser che un server web supporta il protocollo HTTPS.
  • Sebbene non si tratti tecnicamente di un aggiornamento della connessione, molti siti web reindirizzano le connessioni dal protocollo HTTP a quello HTTPS utilizzando codici di stato di reindirizzamento (redirection status codes) come 301 Moved Permanently.

Aggiornamenti avviati dal browser

Se il browser non riesce a determinare se un server web supporta il protocollo HTTPS, potrebbe comunque tentare di aggiornare la connessione. Poiché il protocollo HTTPS è ampiamente supportato, questo processo nella maggior parte dei casi avviene con successo. In Firefox vengono supportate diverse funzionalità di aggiornamento avviate dal browser:

  • HTTPS-First è una funzionalità disponibile a partire dalla versione di Firefox 136. Garantisce che tutte le connessioni tentino di utilizzare prima il protocollo HTTPS per poi ricorrere a quello HTTP in caso di errore. Ciò selezionerà sempre l'opzione più sicura, senza interrompere le attività di navigazione degli utenti.

Questa funzionalità è sperimentale e viene introdotta agli utenti di Firefox tramite un lancio progressivo. Potrebbe non essere ancora disponibile per tutti gli utenti.

  • La Modalità solo HTTPS di Firefox è un'impostazione che gli utenti possono attivare per avere la garanzia che Firefox non stabilisca mai una connessione non sicura senza prima chiedere conferma all'utente. Poiché la maggior parte dei siti ora supporta il protocollo HTTPS, gli utenti potrebbero trovare frustranti le frequenti richieste della Modalità solo HTTPS quando incontrano siti web HTTP ed è per questo motivo che tale impostazione non è attivata per impostazione predefinita.
  • Esistono diverse estensioni web che eseguono alcuni tipi di aggiornamento della connessione. Queste estensioni servono principalmente a casi d'uso specifici per un'utenza esperta.

Altre richieste

I meccanismi descritti precedentemente si applicano principalmente alle richieste di "livello superiore" (top-level) o di navigazione, come ad esempio digitare un URL nella barra degli indirizzi o fare clic su un link. In Firefox vengono gestiti anche altri tipi di richieste, come scaricare immagini o altre sotto-risorse per una pagina web. Mentre la Modalità solo HTTPS in Firefox si applica a tutte le richieste, le sotto-risorse vengono in genere aggiornate utilizzando i seguenti meccanismi:

  • La direttiva "upgrade-insecure-requests" della funzionalità Content Security Policy (CSP) su una pagina web aggiornerà le richieste di sotto-risorse.
  • L'algoritmo Mixed Content garantirà che, se la richiesta di primo livello per un sito è stata crittata, anche le sotto-risorse verranno caricate in modo sicuro oppure la connessione verrà bloccata.

È stato utile questo articolo?

Attendere…

Questi bravi collaboratori hanno contribuito alla scrittura di questo articolo:

Michele Rodaro
Illustration of hands

Collabora

Impara e condividi la tua esperienza con gli altri. Rispondi alle domande e migliora la nostra Knowledge Base.

Ulteriori informazioni