Когда вы просматриваете веб-страницы с помощью Firefox, браузер может автоматически переключить ваше соединение с менее защищенного протокола HTTP на более безопасный протокол HTTPS. Это гарантирует подлинность посещаемых вами веб-сайтов и то, что любая отправляемая вами информация, такая как пароли или личные данные, зашифрована и защищена от перехвата. Поскольку большинство веб-сайтов сегодня поддерживают HTTPS, это обновление обычно происходит без каких-либо проблем. Даже если ссылка использует более старый формат http://, Firefox все равно может попытаться безопасно подключиться по протоколу HTTPS, поскольку многие старые ссылки все еще существуют, хотя сами веб-сайты теперь поддерживают HTTPS. Это помогает обеспечить удобство просмотра и безопасность.

В чем разница между HTTP и HTTPS?

HTTP расшифровывается как Протокол передачи гипертекста и является основополагающим протоколом для Интернета, который кодирует основные взаимодействия между браузерами и веб-серверами. Проблема с обычным протоколом HTTP заключается в том, что данные, передаваемые с сервера в браузер, не шифруются, что означает, что данные могут быть просмотрены, украдены или изменены. Протоколы HTTPS устраняют это с помощью сертификата Transport Layer Security (TLS) или, ранее, сертификата Secure Sockets Layer (SSL). Это создает безопасное зашифрованное соединение между сервером и браузером, которое защищает конфиденциальную информацию.

Различные механизмы переключения

Механизмы переключения соединения могут быть сгруппированы в зависимости от двух факторов:

1. Что инициирует переключение (браузер или веб-сервер).
2. Тип переключаемого соединения.

В разделах ниже подробно описываются эти механизмы.

Переключения, инициируемые сервером

Когда веб-сервер указывает, что он поддерживает HTTPS, браузер может автоматически переключиться на безопасное соединение. Сервер может использовать несколько методов для достижения этой цели:

• HTTP Strict Transport Security (HSTS) - это стандарт, который позволяет веб-сайтам сообщать браузеру о том, что они поддерживают безопасные соединения, и браузер запоминает это для будущих подключений. Он дополнен встроенным списком таких сайтов, Список предварительной загрузки HSTS.
• Записи ресурсов HTTPS (HTTPS RR) - это специальные записи DNS, которые сообщают браузеру, что веб-сервер поддерживает HTTPS.
• Хотя технически это не является обновлением соединения, многие веб-сайты перенаправляют HTTP-соединения на HTTPS, используя коды состояния перенаправления, такие как 301 Перенесено навсегда.

Переключения, инициируемые браузером

Если браузер не может определить, поддерживает ли веб-сервер протокол HTTPS, он все равно может попытаться переключить соединение. Поскольку HTTPS широко поддерживается, этот процесс часто проходит успешно. Firefox поддерживает несколько функций переключений, инициируемых браузером:

• Режим «Только HTTPS» - это параметр, который пользователи могут включить, чтобы гарантировать, что Firefox никогда не установит небезопасное соединение без предварительного запроса пользователя. Поскольку большинство сайтов в настоящее время поддерживают HTTPS, пользователи могут испытывать разочарование от частых запросов из режима «Только HTTPS» при работе с веб-сайтами HTTP. По этой причине по умолчанию он не включен.
• Существует несколько веб-расширений, которые выполняют своего рода переключение подключения. В основном они предназначены для конкретных случаев использования экспертной аудиторией.

Другие запросы

Описанные выше механизмы в основном применяются к запросам “верхнего уровня” или навигации, таким как ввод URL-адреса в адресную строку или переход по ссылке. Firefox также обрабатывает запросы других типов, такие как загрузка изображений или других вспомогательных ресурсов для веб-страницы. Тогда как Режим «Только HTTPS» применяется ко всем запросам, дополнительные ресурсы обыно переключаются с помощью следующих механизмов:

• Директива Политики безопасности содержимого (CSP) upgrade-insecure-requests на веб-странице переключает запросы на дополнительные ресурсы.
• Алгоритм Смешанное содержимое гарантирует, что если запрос верхнего уровня к сайту был зашифрован, дополнительные ресурсы также будут загружены в безопасном режиме, либо соединение будет заблокировано.