Wenn Sie mit Firefox im Internet surfen, stuft der Browser Ihre Verbindung möglicherweise automatisch vom weniger sicheren HTTP-Protokoll auf das sicherere HTTPS-Protokoll hoch. Dadurch wird sichergestellt, dass die von Ihnen besuchten Websites authentisch sind und alle von Ihnen gesendeten Informationen wie Passwörter oder persönliche Daten verschlüsselt und vor dem Abfangen durch andere geschützt sind. Da die meisten Websites heutzutage HTTPS unterstützen, verläuft diese Umstellung in der Regel problemlos. Selbst wenn ein Link das ältere http://
-Format verwendet, versucht Firefox möglicherweise weiterhin, eine sichere Verbindung über HTTPS herzustellen, da viele ältere Links weiterhin bestehen, obwohl die Websites selbst mittlerweile HTTPS unterstützen. Dies trägt zu einem reibungslosen und sicheren Surferlebnis bei.
Inhaltsverzeichnis
Was ist der Unterschied zwischen HTTP und HTTPS?
HTTP steht für „Hypertext Transfer Protocol“ und ist das Basisprotokoll für das Web. Es verschlüsselt grundlegende Interaktionen zwischen Browsern und Webservern. Das Problem mit dem regulären HTTP-Protokoll besteht darin, dass die Datenübertragung zwischen Server und Browser unverschlüsselt erfolgt. Daten können daher eingesehen, gestohlen oder verändert werden. HTTPS-Protokolle beheben dieses Problem durch die Verwendung eines Transport Layer Security (TLS)-Zertifikats, auch unter der Vorgängerbezeichnung „Secure Sockets Layer (SSL)“ bekannt. Dadurch wird eine sichere verschlüsselte Verbindung zwischen Server und Browser hergestellt, die sensible Daten schützt.
Unterschiedliche Upgrade-Mechanismen
Verbindungsupgrade-Mechanismen lassen sich anhand von zwei Faktoren gruppieren:
- Wer initiiert das Upgrade (Browser oder Webserver)?
- Die Art der hochzustufenden Verbindung.
Die folgenden Abschnitte beschreiben diese Mechanismen ausführlich.
Vom Server initiierte Upgrades
Wenn ein Webserver HTTPS unterstützt, kann der Browser automatisch zu einer sicheren Verbindung wechseln. Dazu kann der Server verschiedene Methoden anwenden:
- HTTP Strict Transport Security (HSTS) ist ein Standard, mit dem Websites dem Browser mitteilen können, dass sie sichere Verbindungen unterstützen. Der Browser merkt es sich für zukünftige Verbindungen. Ergänzt wird dies durch eine integrierte Liste solcher Websites, die englischsprachige HSTS-Preload-List.
- HTTPS Resource Records (HTTPS RR) sind spezielle DNS-Einträge, die einem Browser mitteilen, dass ein Webserver HTTPS unterstützt.
- Obwohl es sich technisch gesehen nicht um ein Verbindungsupgrade handelt, leiten viele Websites HTTP-Verbindungen mithilfe von Umleitungsstatuscodes wie 301 Moved Permanently auf HTTPS um.
Vom Browser initiierte Upgrades
Wenn der Browser nicht feststellen kann, ob ein Webserver HTTPS unterstützt, versucht er möglicherweise dennoch, die Verbindung hochzustufen. Dieser Vorgang ist oft erfolgreich, da HTTPS weit verbreitet ist. Firefox unterstützt mehrere browserbasierte Upgrade-Funktionen:
- HTTPS-First ist eine Funktion, die seit Firefox-Version 136 verfügbar ist. Sie stellt sicher, dass alle Verbindungen zuerst das HTTPS-Protokoll verwenden, bevor sie nach einem erfolglosen Verbindungsversuch auf HTTP zurückgreifen. Dadurch wird immer die sicherste Option gewählt, ohne die Arbeit der Nutzer zu unterbrechen.
Hinweis: Dies ist eine experimentelle Funktion, die schrittweise an die Firefox-Nutzer verteilt wird und deshalb nicht allen Nutzern gleichzeitig zur Verfügung steht.
- Nutzer können den Nur-HTTPS-Modus aktivieren, um sicherzustellen, dass Firefox ohne vorherige Rückfrage niemals eine unsichere Verbindung aufbaut. Da die meisten Websites inzwischen HTTPS unterstützen, empfinden Nutzer die häufigen Browser-Rückfragen im Nur-HTTPS-Modus beim Aufrufen von HTTP-Websites als störend. Deshalb ist der Nur-HTTPS-Modus in Firefox standardmäßig deaktiviert.
- Es gibt mehrere Web-Erweiterungen, die eine Art Verbindungsupgrade durchführen. Sie werden meist von Experten für bestimmte Anwendungsfälle verwendet.
Andere Anfragen
Die oben beschriebenen Mechanismen gelten in erster Linie für „Top-Level“- oder Navigationsanfragen, z. B. das Eingeben einer Internetadresse (URL) in die Adressleiste oder das Klicken auf einen Link. Firefox verarbeitet auch andere Arten von Anfragen, wie das Herunterladen von Bildern oder anderen Unterressourcen einer Webseite. Während der Nur-HTTPS-Modus in Firefox für alle Anfragen gilt, werden Unterressourcen normalerweise mithilfe der folgenden Mechanismen hochgestuft:
- Die HTTP-Richtlinie Content-Security-Policy (CSP) mit der Direktive upgrade-insecure-requests auf einer Webseite stuft Anfragen von untergeordneten Ressourcen hoch.
- Der Mixed Content-Algorithmus stellt sicher, dass untergeordnete Ressourcen entweder ebenfalls sicher geladen werden oder die Verbindung blockiert wird, wenn die „Top-Level“-Anfrage für eine Website verschlüsselt war.