Aggiornamento delle connessioni in Firefox da HTTP a HTTPS
Informazioni sulla versione
- ID versione: 291526
- Data di creazione:
- Autore: Michele Rodaro
- Commento: una correzione post QA by @miki64
- Revisionata: Sì
- Revisionata:
- Revisionata da: michro
- Approvata? Sì
- Versione corrente? No
- Pronta per la localizzazione: No
Sorgente della versione
Contenuto della versione
Quando si naviga sul web utilizzando Firefox, il browser potrebbe aggiornare automaticamente la connessione dal protocollo HTTP meno sicuro a quello HTTPS più sicuro. Ciò garantisce che i siti web che l'utente visita siano autentici e che qualsiasi informazione inviata dall'utente, come password o dati personali, sia crittata e protetta da intercettazioni. Poiché la maggior parte dei siti web oggi supporta il protocollo HTTPS, questo aggiornamento avviene solitamente senza problemi. Anche se un link utilizza il vecchio formato http://, Firefox potrebbe comunque tentare di connettersi in modo sicuro tramite HTTPS, poiché molti vecchi link esistono ancora nonostante i siti web stessi ora supportino il protocollo HTTPS. Ciò aiuta a mantenere l'esperienza di navigazione dell'utente fluida e sicura.
I diversi meccanismi di aggiornamento
I meccanismi di aggiornamento della connessione possono essere raggruppati in base a due fattori:
- Chi avvia l'aggiornamento (il browser o il server web).
- Il tipo di connessione in fase di aggiornamento.
I paragrafi seguenti spiegano questi meccanismi in dettaglio.
Aggiornamenti avviati dal server
Quando un server web indica che supporta il protocollo HTTPS, il browser può passare automaticamente a una connessione sicura. Il server può utilizzare diversi metodi per ottenere questo risultato:
- L'HTTP Strict Transport Security (HSTS) è uno standard che consente ai siti web di comunicare al browser che supportano connessioni sicure e il browser lo ricorderà per le connessioni future. Lo standard HSTS è completato da un elenco integrato di tali siti, l'HSTS preload list (lista preliminare HSTS).
- Le HTTPS Resource Records (HTTPS RR) sono voci DNS speciali (special DNS entries) che indicano a un browser che un server web supporta il protocollo HTTPS.
- Sebbene non si tratti tecnicamente di un aggiornamento della connessione, molti siti web reindirizzano le connessioni dal protocollo HTTP a quello HTTPS utilizzando codici di stato di reindirizzamento (redirection status codes) come 301 Moved Permanently.
Aggiornamenti avviati dal browser
Se il browser non riesce a determinare se un server web supporta il protocollo HTTPS, potrebbe comunque tentare di aggiornare la connessione. Poiché il protocollo HTTPS è ampiamente supportato, questo processo nella maggior parte dei casi avviene con successo. In Firefox vengono supportate diverse funzionalità di aggiornamento avviate dal browser:
- Connessioni di Firefox ai siti web utilizzando prima una connessione sicura HTTPS è una funzionalità presente in Firefox dalla versione 136. Garantisce che tutte le connessioni tentino di utilizzare prima il protocollo HTTPS per poi ricorrere a quello HTTP in caso di errore. Ciò selezionerà sempre l'opzione più sicura, senza coinvolgere gli utenti.
Questa funzionalità è sperimentale e viene introdotta agli utenti di Firefox tramite un lancio progressivo. Potrebbe non essere ancora disponibile per tutti gli utenti.- La Modalità solo HTTPS in Firefox è un'impostazione che gli utenti possono attivare per avere la garanzia che Firefox non stabilisca mai una connessione non sicura senza prima chiedere conferma all'utente. Poiché la maggior parte dei siti ora supporta il protocollo HTTPS, gli utenti potrebbero trovare frustranti le frequenti richieste della Modalità solo HTTPS quando incontrano siti web HTTP ed è per questo motivo che tale impostazione non è attivata per impostazione predefinita.
- Esistono diverse estensioni web che eseguono alcuni tipi di aggiornamento della connessione, ma queste estensioni servono principalmente a casi d'uso specifici per un'utenza esperta.
Altre richieste
I meccanismi descritti precedentemente si applicano principalmente alle richieste di "livello superiore" (top-level) o di navigazione, come ad esempio digitare un URL nella barra degli indirizzi o fare clic su un link. In Firefox vengono gestiti anche altri tipi di richieste, come scaricare immagini o altre sotto-risorse per una pagina web. Mentre la Modalità solo HTTPS in Firefox si applica a tutte le richieste, le sotto-risorse vengono in genere aggiornate utilizzando i seguenti meccanismi:
- Una direttiva "upgrade-insecure-requests" della funzionalità Content Security Policy (CSP) su una pagina web aggiornerà le richieste di sotto-risorse.
- Il Mixed Content Algorithm garantirà che se la richiesta di primo livello per un sito è stata crittata, anche le sotto-risorse verranno caricate in modo sicuro oppure la connessione verrà bloccata.