Wenn Sie mit Firefox im Internet surfen, stuft der Browser Ihre Verbindung möglicherweise automatisch vom weniger sicheren HTTP-Protokoll auf das sicherere HTTPS-Protokoll hoch. Dadurch wird sichergestellt, dass die von Ihnen besuchten Websites authentisch sind und alle von Ihnen gesendeten Informationen wie Passwörter oder persönliche Daten verschlüsselt und vor dem Abfangen durch andere geschützt sind. Da die meisten Websites heutzutage HTTPS unterstützen, verläuft diese Umstellung in der Regel problemlos. Selbst wenn ein Link das ältere <code>http://</code>-Format verwendet, versucht Firefox möglicherweise weiterhin, eine sichere Verbindung über HTTPS herzustellen, da viele ältere Links weiterhin bestehen, obwohl Websites mittlerweile HTTPS unterstützen. Dies trägt zu einem reibungslosen und sicheren Surferlebnis bei. __TOC__ =Was ist der Unterschied zwischen HTTP und HTTPS?= [https://de.wikipedia.org/wiki/Hypertext_Transfer_Protocol HTTP] steht für „Hypertext Transfer Protocol“ und ist das grundlegende Protokoll für das Web. Es verschlüsselt grundlegende Interaktionen zwischen Browsern und Webservern. Das Problem mit dem regulären HTTP-Protokoll besteht darin, dass die Datenübertragung zwischen Server und Browser unverschlüsselt erfolgt. Daten können daher eingesehen, gestohlen oder verändert werden. [https://de.wikipedia.org/wiki/Hypertext_Transfer_Protocol_Secure HTTPS]-Protokolle beheben dieses Problem durch die Verwendung eines Transport Layer Security (TLS)-Zertifikats oder ehemals Secure Sockets Layer (SSL). Dadurch wird eine sichere verschlüsselte Verbindung zwischen Server und Browser hergestellt, die sensible Daten schützt. =Verschiedene Upgrade-Mechanismen= Verbindungs-Upgrade-Mechanismen lassen sich anhand von zwei Faktoren gruppieren: #Wer initiiert das Upgrade (Browser oder Webserver)? #Die Art der hochzustufenden Verbindung. Die folgenden Abschnitte erläutern diese Mechanismen im Detail. ==Vom Server initiierte Upgrades== Wenn ein Webserver anzeigt dass er HTTPS unterstützt, kann der Browser automatisch auf eine sichere Verbindung umschalten. Der Server kann hierfür verschiedene Methoden verwenden: * [https://de.wikipedia.org/wiki/HTTP_Strict_Transport_Security HTTP Strict Transport Security (HSTS)] ist ein Standard, der es Websites ermöglicht, dem Browser mitzuteilen, dass sie sichere Verbindungen unterstützen. Der Browser merkt sich dies für zukünftige Verbindungen. Ergänzt wird dies durch eine integrierte Liste solcher Websites, die [https://en.wikipedia.org/wiki/HTTP_Strict_Transport_Security#Solutions_with_preload_list HSTS-Preload-List]^''(EN)''. * [https://developer.mozilla.org/de/docs/Glossary/HTTPS_RR HTTPS Resource Records (HTTPS RR)] sind spezielle DNS-Einträge, die einem Browser mitteilen, dass ein Webserver HTTPS unterstützt. * Obwohl es sich technisch gesehen nicht um ein Verbindungsupgrade handelt, leiten viele Websites HTTP-Verbindungen mithilfe von Umleitungsstatuscodes wie [https://developer.mozilla.org/de/docs/Web/HTTP/Reference/Status/301 301 Moved Permanently] auf HTTPS um. ==Browserinitiierte Upgrades== Wenn der Browser nicht feststellen kann, ob ein Webserver HTTPS unterstützt, versucht er möglicherweise dennoch, die Verbindung hochzustufen. Dieser Vorgang ist oft erfolgreich da HTTPS weit verbreitet ist. Firefox unterstützt mehrere browserbasierte Upgrade-Funktionen: {for fx136} * [[HTTPS-First upgrades to secure connections|HTTPS-First]] ist eine Funktion, die seit [[Find what version of Firefox you are using|Firefox version]] 136 verfügbar ist. Sie stellt sicher, dass alle Verbindungen zuerst HTTPS verwenden, bevor im Fehlerfall auf HTTP zurückgegriffen wird. Dadurch wird immer die sicherste Option gewählt, ohne Benutzer zu unterbrechen. [[Template:progressiverollout]] {/for} * [[Nur-HTTPS-Modus in Firefox|Nur-HTTPS-Modus]] ist eine Einstellung, die Benutzer aktivieren können, um sicherzustellen, dass Firefox niemals eine unsichere Verbindung aufbaut ohne den Benutzer vorher zu fragen. Da die meisten Websites mittlerweile HTTPS unterstützen, können die häufigen Benachrichtigungen im HTTPS-Only-Modus beim Aufrufen von HTTP-Websites frustrierend sein. Aus diesem Grund ist diese Funktion standardmäßig nicht aktiviert. * Es gibt verschiedene webextensions, die eine Art von Verbindungsupgrade durchführen. Diese dienen meist spezifischen Anwendungsfällen für professionelle Zielgruppen. ==Andere Anfragen== Die oben beschriebenen Mechanismen gelten in erster Linie für "top-level" Anfragen oder für die Navigation, wie z.B. die Eingabe einer URL in die Adressleiste oder das Klicken auf einen Link. Firefox verarbeitet auch andere Arten von Anfragen, wie z. B. das Herunterladen von Bildern oder anderen Unterressourcen einer Webseite. Während der [[Nur-HTTPS-Modus in Firefox]] für alle Anfragen gilt, werden Unterressourcen typischerweise mithilfe der folgenden Mechanismen hochgestuft: * Die [https://developer.mozilla.org/de/docs/Web/HTTP/Guides/CSP Content Security Policy] (CSP) [https://developer.mozilla.org/de/docs/Web/HTTP/Reference/Headers/Content-Security-Policy/upgrade-insecure-requests upgrade-insecure-requests]-Direktive auf einer Webseite stuft Unterressourcenanfragen hoch. * Der Algorithmus [https://developer.mozilla.org/de/docs/Web/Security/Mixed_content Mixed Content] stellt sicher, dass, wenn die top-level Anforderung für eine Website verschlüsselt war, untergeordnete Ressourcen entweder ebenfalls sicher geladen werden oder die Verbindung blockiert wird.

Wenn Sie mit Firefox im Internet surfen, stuft der Browser Ihre Verbindung möglicherweise automatisch vom weniger sicheren HTTP-Protokoll auf das sicherere HTTPS-Protokoll hoch. Dadurch wird sichergestellt, dass die von Ihnen besuchten Websites authentisch sind und alle von Ihnen gesendeten Informationen wie Passwörter oder persönliche Daten verschlüsselt und vor dem Abfangen durch andere geschützt sind. Da die meisten Websites heutzutage HTTPS unterstützen, verläuft diese Umstellung in der Regel problemlos. Selbst wenn ein Link das ältere http://-Format verwendet, versucht Firefox möglicherweise weiterhin, eine sichere Verbindung über HTTPS herzustellen, da viele ältere Links weiterhin bestehen, obwohl Websites mittlerweile HTTPS unterstützen. Dies trägt zu einem reibungslosen und sicheren Surferlebnis bei.

Was ist der Unterschied zwischen HTTP und HTTPS?

HTTP steht für „Hypertext Transfer Protocol“ und ist das grundlegende Protokoll für das Web. Es verschlüsselt grundlegende Interaktionen zwischen Browsern und Webservern. Das Problem mit dem regulären HTTP-Protokoll besteht darin, dass die Datenübertragung zwischen Server und Browser unverschlüsselt erfolgt. Daten können daher eingesehen, gestohlen oder verändert werden. HTTPS-Protokolle beheben dieses Problem durch die Verwendung eines Transport Layer Security (TLS)-Zertifikats oder ehemals Secure Sockets Layer (SSL). Dadurch wird eine sichere verschlüsselte Verbindung zwischen Server und Browser hergestellt, die sensible Daten schützt.

Verschiedene Upgrade-Mechanismen

Verbindungs-Upgrade-Mechanismen lassen sich anhand von zwei Faktoren gruppieren:

1. Wer initiiert das Upgrade (Browser oder Webserver)?
2. Die Art der hochzustufenden Verbindung.

Die folgenden Abschnitte erläutern diese Mechanismen im Detail.

Vom Server initiierte Upgrades

Wenn ein Webserver anzeigt dass er HTTPS unterstützt, kann der Browser automatisch auf eine sichere Verbindung umschalten. Der Server kann hierfür verschiedene Methoden verwenden:

• HTTP Strict Transport Security (HSTS) ist ein Standard, der es Websites ermöglicht, dem Browser mitzuteilen, dass sie sichere Verbindungen unterstützen. Der Browser merkt sich dies für zukünftige Verbindungen. Ergänzt wird dies durch eine integrierte Liste solcher Websites, die HSTS-Preload-List^(EN).
• HTTPS Resource Records (HTTPS RR) sind spezielle DNS-Einträge, die einem Browser mitteilen, dass ein Webserver HTTPS unterstützt.
• Obwohl es sich technisch gesehen nicht um ein Verbindungsupgrade handelt, leiten viele Websites HTTP-Verbindungen mithilfe von Umleitungsstatuscodes wie 301 Moved Permanently auf HTTPS um.

Browserinitiierte Upgrades

Wenn der Browser nicht feststellen kann, ob ein Webserver HTTPS unterstützt, versucht er möglicherweise dennoch, die Verbindung hochzustufen. Dieser Vorgang ist oft erfolgreich da HTTPS weit verbreitet ist. Firefox unterstützt mehrere browserbasierte Upgrade-Funktionen:

• Nur-HTTPS-Modus ist eine Einstellung, die Benutzer aktivieren können, um sicherzustellen, dass Firefox niemals eine unsichere Verbindung aufbaut ohne den Benutzer vorher zu fragen. Da die meisten Websites mittlerweile HTTPS unterstützen, können die häufigen Benachrichtigungen im HTTPS-Only-Modus beim Aufrufen von HTTP-Websites frustrierend sein. Aus diesem Grund ist diese Funktion standardmäßig nicht aktiviert.
• Es gibt verschiedene webextensions, die eine Art von Verbindungsupgrade durchführen. Diese dienen meist spezifischen Anwendungsfällen für professionelle Zielgruppen.

Andere Anfragen

Die oben beschriebenen Mechanismen gelten in erster Linie für "top-level" Anfragen oder für die Navigation, wie z.B. die Eingabe einer URL in die Adressleiste oder das Klicken auf einen Link. Firefox verarbeitet auch andere Arten von Anfragen, wie z. B. das Herunterladen von Bildern oder anderen Unterressourcen einer Webseite. Während der Nur-HTTPS-Modus in Firefox für alle Anfragen gilt, werden Unterressourcen typischerweise mithilfe der folgenden Mechanismen hochgestuft:

• Die Content Security Policy (CSP) upgrade-insecure-requests-Direktive auf einer Webseite stuft Unterressourcenanfragen hoch.
• Der Algorithmus Mixed Content stellt sicher, dass, wenn die top-level Anforderung für eine Website verschlüsselt war, untergeordnete Ressourcen entweder ebenfalls sicher geladen werden oder die Verbindung blockiert wird.