Сравняване на ревизии
Firefox-Verbindungsupgrades - HTTP zu HTTPS
Ревизия 296443:
Ревизия 296443 на Artist от
Ревизия 296446:
Ревизия 296446 на graba от
Ключови думи:
Обобщени резултати от търсенето:
Firefox stuft Verbindungen von HTTP auf HTTPS hoch, um die Sicherheit zu erhöhen und Ihre Daten zu schützen. Details zu browser- und serverinitiierten Upgrades.
Firefox stuft Verbindungen von HTTP auf HTTPS hoch, um die Sicherheit zu erhöhen und Ihre Daten zu schützen. Details zu browser- und serverinitiierten Upgrades.
Съдържание:
Wenn Sie mit Firefox im Internet surfen, stuft der Browser Ihre Verbindung möglicherweise automatisch vom weniger sicheren HTTP-Protokoll auf das sicherere HTTPS-Protokoll hoch. Dadurch wird sichergestellt, dass die von Ihnen besuchten Websites authentisch sind und alle von Ihnen gesendeten Informationen wie Passwörter oder persönliche Daten verschlüsselt und vor dem Abfangen durch andere geschützt sind. Da die meisten Websites heutzutage HTTPS unterstützen, verläuft diese Umstellung in der Regel problemlos. Selbst wenn ein Link das ältere <code>http://</code>-Format verwendet, versucht Firefox möglicherweise weiterhin, eine sichere Verbindung über HTTPS herzustellen, da viele ältere Links weiterhin bestehen, obwohl die Websites selbst mittlerweile HTTPS unterstützen. Dies trägt zu einem reibungslosen und sicheren Surferlebnis bei.
__TOC__
=Was ist der Unterschied zwischen HTTP und HTTPS?=
[https://de.wikipedia.org/wiki/Hypertext_Transfer_Protocol HTTP] steht für „Hypertext Transfer Protocol“ und ist das Basisprotokoll für das [https://de.wikipedia.org/wiki/World_Wide_Web Web]. Es verschlüsselt grundlegende Interaktionen zwischen Browsern und Webservern. Das Problem mit dem regulären HTTP-Protokoll besteht darin, dass die Datenübertragung zwischen Server und Browser unverschlüsselt erfolgt. Daten können daher eingesehen, gestohlen oder verändert werden. [https://de.wikipedia.org/wiki/Hypertext_Transfer_Protocol_Secure HTTPS]-Protokolle beheben dieses Problem durch die Verwendung eines [https://de.wikipedia.org/wiki/Transport_Layer_Security Transport Layer Security (TLS)-Zertifikats], auch unter der Vorgängerbezeichnung „Secure Sockets Layer (SSL)“ bekannt. Dadurch wird eine sichere verschlüsselte Verbindung zwischen Server und Browser hergestellt, die sensible Daten schützt.
=Unterschiedliche Upgrade-Mechanismen=
Verbindungsupgrade-Mechanismen lassen sich anhand von zwei Faktoren gruppieren:
#Wer initiiert das Upgrade (Browser oder Webserver)?
#Die Art der hochzustufenden Verbindung.
Die folgenden Abschnitte beschreiben diese Mechanismen ausführlich.
==Vom Server initiierte Upgrades==
Wenn ein Webserver HTTPS unterstützt, kann der Browser automatisch zu einer sicheren Verbindung wechseln. Dazu kann der Server verschiedene Methoden anwenden:
*[https://wikipedia.org/wiki/HTTP_Strict_Transport_Security HTTP Strict Transport Security (HSTS)] ist ein Standard, mit dem Websites dem Browser mitzuteilen können, dass sie sichere Verbindungen unterstützen. Der Browser merkt es sich für zukünftige Verbindungen. Ergänzt wird dies durch eine integrierte Liste solcher Websites, die englischsprachige [https://en.wikipedia.org/wiki/HTTP_Strict_Transport_Security#Solutions_with_preload_list HSTS-Preload-List].
*[https://developer.mozilla.org/de/docs/Glossary/HTTPS_RR HTTPS Resource Records (HTTPS RR)] sind spezielle DNS-Einträge, die einem Browser mitteilen, dass ein Webserver HTTPS unterstützt.
*Obwohl es sich technisch gesehen nicht um ein Verbindungsupgrade handelt, leiten viele Websites HTTP-Verbindungen mithilfe von Umleitungsstatuscodes wie [https://developer.mozilla.org/de/docs/Web/HTTP/Reference/Status/301 301 Moved Permanently] auf HTTPS um.
==Vom Browser initiierte Upgrades==
Wenn der Browser nicht feststellen kann, ob ein Webserver HTTPS unterstützt, versucht er möglicherweise dennoch, die Verbindung hochzustufen. Dieser Vorgang ist oft erfolgreich, da HTTPS weit verbreitet ist. Firefox unterstützt mehrere browserbasierte Upgrade-Funktionen:
{for fx136}
*[[HTTPS-First upgrades to secure connections|HTTPS-First]] ist eine Funktion, die seit [[Find what version of Firefox you are using|Firefox-Version]] 136 verfügbar ist. Sie stellt sicher, dass alle Verbindungen zuerst das HTTPS-Protokoll verwenden, bevor sie nach einem erfolglosen Verbindungsversuch auf HTTP zurückgreifen. Dadurch wird immer die sicherste Option gewählt, ohne die Arbeit der Nutzer zu unterbrechen.
[[Template:progressiverollout]]
{/for}
*Nutzer können den [[HTTPS-Only Mode in Firefox|Nur-HTTPS-Modus]] aktivieren, um sicherzustellen, dass Firefox ohne vorherige Rückfrage niemals eine unsichere Verbindung aufbaut. Da die meisten Websites inzwischen HTTPS unterstützen, empfinden Nutzer die häufigen Browser-Rückfragen im Nur-HTTPS-Modus beim Aufrufen von HTTP-Websites als störend. Deshalb ist der Nur-HTTPS-Modus in Firefox standardmäßig deaktiviert.
*Es gibt mehrere Web-Erweiterungen, die eine Art Verbindungsupgrade durchführen. Sie werden meist von Experten für bestimmte Anwendungsfälle verwendet.
==Andere Anfragen==
Die oben beschriebenen Mechanismen gelten in erster Linie für „Top-Level“- oder Navigationsanfragen, z. B. das Eingeben einer Internetadresse (URL) in die Adressleiste oder das Klicken auf einen Link. Firefox verarbeitet auch andere Arten von Anfragen, wie das Herunterladen von Bildern oder anderen Unterressourcen einer Webseite. Während der [[HTTPS-Only Mode in Firefox]] für alle Anfragen gilt, werden Unterressourcen normalerweise mithilfe der folgenden Mechanismen hochgestuft:
*Die HTTP-Richtlinie [https://developer.mozilla.org/de/docs/Web/HTTP/Guides/CSP Content-Security-Policy (CSP)] mit der Direktive [https://developer.mozilla.org/de/docs/Web/HTTP/Reference/Headers/Content-Security-Policy/upgrade-insecure-requests upgrade-insecure-requests] auf einer Webseite stuft Anfragen von untergeordneten Ressourcen hoch.
*Der [https://developer.mozilla.org/docs/Web/Security/Mixed_content Mixed Content]-Algorithmus stellt sicher, dass, wenn die „Top-Level“-Anfrage für eine Website verschlüsselt war, untergeordnete Ressourcen entweder ebenfalls sicher geladen werden oder die Verbindung blockiert wird.
Wenn Sie mit Firefox im Internet surfen, stuft der Browser Ihre Verbindung möglicherweise automatisch vom weniger sicheren HTTP-Protokoll auf das sicherere HTTPS-Protokoll hoch. Dadurch wird sichergestellt, dass die von Ihnen besuchten Websites authentisch sind und alle von Ihnen gesendeten Informationen wie Passwörter oder persönliche Daten verschlüsselt und vor dem Abfangen durch andere geschützt sind. Da die meisten Websites heutzutage HTTPS unterstützen, verläuft diese Umstellung in der Regel problemlos. Selbst wenn ein Link das ältere <code>http://</code>-Format verwendet, versucht Firefox möglicherweise weiterhin, eine sichere Verbindung über HTTPS herzustellen, da viele ältere Links weiterhin bestehen, obwohl die Websites selbst mittlerweile HTTPS unterstützen. Dies trägt zu einem reibungslosen und sicheren Surferlebnis bei.
__TOC__
=Was ist der Unterschied zwischen HTTP und HTTPS?=
[https://de.wikipedia.org/wiki/Hypertext_Transfer_Protocol HTTP] steht für „Hypertext Transfer Protocol“ und ist das Basisprotokoll für das [https://de.wikipedia.org/wiki/World_Wide_Web Web]. Es verschlüsselt grundlegende Interaktionen zwischen Browsern und Webservern. Das Problem mit dem regulären HTTP-Protokoll besteht darin, dass die Datenübertragung zwischen Server und Browser unverschlüsselt erfolgt. Daten können daher eingesehen, gestohlen oder verändert werden. [https://de.wikipedia.org/wiki/Hypertext_Transfer_Protocol_Secure HTTPS]-Protokolle beheben dieses Problem durch die Verwendung eines [https://de.wikipedia.org/wiki/Transport_Layer_Security Transport Layer Security (TLS)-Zertifikats], auch unter der Vorgängerbezeichnung „Secure Sockets Layer (SSL)“ bekannt. Dadurch wird eine sichere verschlüsselte Verbindung zwischen Server und Browser hergestellt, die sensible Daten schützt.
=Unterschiedliche Upgrade-Mechanismen=
Verbindungsupgrade-Mechanismen lassen sich anhand von zwei Faktoren gruppieren:
#Wer initiiert das Upgrade (Browser oder Webserver)?
#Die Art der hochzustufenden Verbindung.
Die folgenden Abschnitte beschreiben diese Mechanismen ausführlich.
==Vom Server initiierte Upgrades==
Wenn ein Webserver HTTPS unterstützt, kann der Browser automatisch zu einer sicheren Verbindung wechseln. Dazu kann der Server verschiedene Methoden anwenden:
*[https://wikipedia.org/wiki/HTTP_Strict_Transport_Security HTTP Strict Transport Security (HSTS)] ist ein Standard, mit dem Websites dem Browser mitteilen können, dass sie sichere Verbindungen unterstützen. Der Browser merkt es sich für zukünftige Verbindungen. Ergänzt wird dies durch eine integrierte Liste solcher Websites, die englischsprachige [https://en.wikipedia.org/wiki/HTTP_Strict_Transport_Security#Solutions_with_preload_list HSTS-Preload-List].
*[https://developer.mozilla.org/de/docs/Glossary/HTTPS_RR HTTPS Resource Records (HTTPS RR)] sind spezielle DNS-Einträge, die einem Browser mitteilen, dass ein Webserver HTTPS unterstützt.
*Obwohl es sich technisch gesehen nicht um ein Verbindungsupgrade handelt, leiten viele Websites HTTP-Verbindungen mithilfe von Umleitungsstatuscodes wie [https://developer.mozilla.org/de/docs/Web/HTTP/Reference/Status/301 301 Moved Permanently] auf HTTPS um.
==Vom Browser initiierte Upgrades==
Wenn der Browser nicht feststellen kann, ob ein Webserver HTTPS unterstützt, versucht er möglicherweise dennoch, die Verbindung hochzustufen. Dieser Vorgang ist oft erfolgreich, da HTTPS weit verbreitet ist. Firefox unterstützt mehrere browserbasierte Upgrade-Funktionen:
{for fx136}
*[[HTTPS-First upgrades to secure connections|HTTPS-First]] ist eine Funktion, die seit [[Find what version of Firefox you are using|Firefox-Version]] 136 verfügbar ist. Sie stellt sicher, dass alle Verbindungen zuerst das HTTPS-Protokoll verwenden, bevor sie nach einem erfolglosen Verbindungsversuch auf HTTP zurückgreifen. Dadurch wird immer die sicherste Option gewählt, ohne die Arbeit der Nutzer zu unterbrechen.
[[Template:progressiverollout]]
{/for}
*Nutzer können den [[HTTPS-Only Mode in Firefox|Nur-HTTPS-Modus]] aktivieren, um sicherzustellen, dass Firefox ohne vorherige Rückfrage niemals eine unsichere Verbindung aufbaut. Da die meisten Websites inzwischen HTTPS unterstützen, empfinden Nutzer die häufigen Browser-Rückfragen im Nur-HTTPS-Modus beim Aufrufen von HTTP-Websites als störend. Deshalb ist der Nur-HTTPS-Modus in Firefox standardmäßig deaktiviert.
*Es gibt mehrere Web-Erweiterungen, die eine Art Verbindungsupgrade durchführen. Sie werden meist von Experten für bestimmte Anwendungsfälle verwendet.
==Andere Anfragen==
Die oben beschriebenen Mechanismen gelten in erster Linie für „Top-Level“- oder Navigationsanfragen, z. B. das Eingeben einer Internetadresse (URL) in die Adressleiste oder das Klicken auf einen Link. Firefox verarbeitet auch andere Arten von Anfragen, wie das Herunterladen von Bildern oder anderen Unterressourcen einer Webseite. Während der [[HTTPS-Only Mode in Firefox]] für alle Anfragen gilt, werden Unterressourcen normalerweise mithilfe der folgenden Mechanismen hochgestuft:
*Die HTTP-Richtlinie [https://developer.mozilla.org/de/docs/Web/HTTP/Guides/CSP Content-Security-Policy (CSP)] mit der Direktive [https://developer.mozilla.org/de/docs/Web/HTTP/Reference/Headers/Content-Security-Policy/upgrade-insecure-requests upgrade-insecure-requests] auf einer Webseite stuft Anfragen von untergeordneten Ressourcen hoch.
*Der [https://developer.mozilla.org/docs/Web/Security/Mixed_content Mixed Content]-Algorithmus stellt sicher, dass untergeordnete Ressourcen entweder ebenfalls sicher geladen werden oder die Verbindung blockiert wird, wenn die „Top-Level“-Anfrage für eine Website verschlüsselt war,