Při procházení stránek pomocí Firefoxu může prohlížeč automaticky povýšit vaše spojení z méně bezpečného protokolu HTTP na bezpečnější protokol HTTPS. Díky tomu máte jistotu, že jsou vámi navštěvované weby autentickými weby a že veškeré informace, které odesíláte, jako hesla nebo osobní údaje, jsou šifrovány a chráněny před odposlechem. Vzhledem k tomu, že většina dnešních webů protokol HTTPS podporuje, proběhne toto povýšení obvykle bez problémů. I když odkaz používá starší formát http://, může se Firefox přesto pokusit o bezpečné spojení přes HTTPS, protože řada starších odkazů přetrvává, třebaže samotné weby již HTTPS podporují. To pomáhá zajistit plynulé a bezpečné surfování.

Jaký je rozdíl mezi HTTP a HTTPS?

HTTP znamená HyperText Transfer Protocol – protokol pro přenos hypertextu. Je to základní protokol pro Web, který šifruje základní interakce mezi prohlížeči a webovými servery. Problém obyčejného protokolu HTTP spočívá v tom, že přenos dat ze serveru do prohlížeče není šifrován, což znamená, že data je možné přečíst, odcizit nebo pozměnit. Protokoly HTTPS toto napravují pomocí certifikátu TLS. Ten vytváří zabezpečené šifrované spojení mezi serverem a prohlížečem, které chrání citlivé informace.

Různé mechanismy povýšení spojení

Mechanismy povýšení spojení lze rozdělit do dvou skupin na základě dvou faktorů:

1. Kdo iniciuje povýšení (prohlížeč nebo webový server).
2. Typ povyšovaného spojení.

Níže uvedené kapitoly tyto mechanismy podrobně vysvětlují.

Povýšení iniciovaná serverem

Když webový server oznámí, že podporuje protokol HTTPS, může prohlížeč automaticky přepnout na zabezpečené spojení. Server k tomu může použít několik metod:

• HTTP Strict Transport Security (HSTS) je standard umožňující webu sdělit prohlížeči, že podporuje zabezpečené spojení, přičemž prohlížeč si tuto informaci zapamatuje pro případná budoucí spojení. Prohlížeč je rovněž vybaven vestavěným seznamem takových webů, tzv. seznamem předběžného načítání HSTS.
• Zdrojové záznamy HTTPS jsou speciální DNS záznamy, které sdělují prohlížeči, že webový server podporuje HTTPS.
• Ačkoli se technicky nejedná o povýšení spojení, mnoho webů přesměrovává HTTP spojení na HTTPS pomocí stavových kódů přesměrování, jako je 301 Trvale přesunuto.

Povýšení iniciovaná prohlížečem

Pokud prohlížeč nemůže určit, zda webový server podporuje HTTPS, může se i tak pokusit o povýšení spojení. Jelikož je HTTPS široce podporováno, je tento proces často úspěšný. Firefox podporuje několik funkcí prohlížečem iniciovaných povýšení:

• Režim „pouze HTTPS“ je nastavení, které mohou uživatelé zapnout, chtějí-li mít zaručeno, že Firefox nikdy nenaváže nezabezpečené spojení bez toho, že by se uživatele nejprve nezeptal. Jelikož většina webů nyní podporuje HTTPS, mohou uživatelé časté dotazy tohoto režimu, když narazí na weby používající HTTP, vnímat jako otravné. Z tohoto důvodu není tato funkce ve výchozím nastavení zapnutá.
• Existuje několik webových rozšíření, která provádějí určitý typ povýšení spojení. Většinou slouží odbornému publiku ke specifickým účelům.

Ostatní požadavky

Výše popsané mechanismy se vztahují především na požadavky „nejvyšší úrovně“ či navigační požadavky, jako je zadání adresy URL do adresního řádku nebo kliknutí na odkaz. Firefox zpracovává i jiné typy požadavků, např. stahování obrázků nebo jiných podzdrojů pro webovou stránku. Zatímco režim „pouze HTTPS“ se uplatňuje na všechny požadavky, podzdroje jsou obvykle povýšeny pomocí následujících mechanismů:

• Direktiva upgrade-insecure-requests hlavičky Content Security Policy (CSP) na webové stránce povýší požadavky na podzdroje.
• Algoritmus pro smíšený obsah zajistí, že pokud byl požadavek nejvyšší úrovně pro daný web zašifrován, budou podzdroje buď rovněž načteny bezpečně, anebo bude spojení zablokováno.