Uaktualnienie połączeń w Firefoksie – z HTTP do HTTPS

Firefox, Firefox for Android Firefox, Firefox for Android Ostatnio zaktualizowany: 3 tygodnie, 3 dni ago 100% użytkowników uznało to za pomocne

Podczas przeglądania internetu za pomocą Firefoksa, przeglądarka może automatycznie uaktualnić połączenie z mniej bezpiecznego protokołu HTTP do bezpieczniejszego protokołu HTTPS. Gwarantuje to, że odwiedzane strony internetowe są autentyczne, a wszelkie przesyłane przez użytkownika informacje, takie jak hasła lub dane osobowe są szyfrowane i chronione przed przechwyceniem. Ponieważ obecnie większość witryn internetowych obsługuje protokół HTTPS, to uaktualnienie zazwyczaj przebiega bezproblemowo. Nawet jeśli odnośnik korzysta ze starszego formatu http://, Firefox może nadal próbować połączyć się bezpiecznie przez protokół HTTPS, ponieważ w internecie wciąż istnieje wiele starszego typu odnośników, mimo że same witryny internetowe obsługują już HTTPS. Dzięki temu przeglądanie jest zarówno płynne, jak i bezpieczne.

Jaka jest różnica pomiędzy protokołem HTTP, a HTTPS?

HTTP, to skrót od *Hypertext Transfer Protocol* (protokół przesyłania hipertekstu) i jest podstawowym protokołem internetu, który określa sposób komunikacji między przeglądarkami a serwerami internetowymi. Problem z protokołem HTTP polega na tym, że dane przesyłane z serwera do przeglądarki nie są szyfrowane, co oznacza, że mogą być przeglądane, skradzione lub modyfikowane. Protokół HTTPS rozwiązuje ten problem, wykorzystując certyfikat TLS *Transport Layer Security*, wcześniej znany jako SSL *Secure Sockets Layer*. Dzięki temu tworzona jest bezpieczna, szyfrowana transmisja między serwerem a przeglądarką, która chroni poufne informacje.

Różne mechanizmy uaktualniania

Mechanizmy uaktualniania można grupować na podstawie dwóch czynników:

  1. Kto inicjuje uaktualnienie – przeglądarka czy serwer.
  2. Typ uaktualnianego połączenia.

Poniższe sekcje szczegółowo wyjaśniają te mechanizmy.

Uaktualnienia inicjowane przez serwer

Gdy serwer internetowy wskazuje, że obsługuje HTTPS, przeglądarka może automatycznie przełączyć się na bezpieczne połączenie. Serwer może używać kilku metod, aby to osiągnąć:

Uaktualnienia inicjowane przez przeglądarkę

Jeśli przeglądarka nie może określić, czy serwer internetowy obsługuje HTTPS, może mimo to spróbować uaktualnić połączenie. Ponieważ HTTPS jest powszechnie obsługiwany, proces ten często kończy się powodzeniem. Firefox obsługuje kilka funkcji uaktualniania połączeń inicjowanych przez przeglądarkę:

  • Funkcja HTTPS-First, to funkcja dostępna od wersji Firefoksa 136. Zapewnia, że wszystkie połączenia najpierw próbują użyć protokołu HTTPS, a dopiero w przypadku niepowodzenia następuje powrót do HTTP. Dzięki temu zawsze wybierana jest najbezpieczniejsza opcja, bez zakłócania użytkownikom działania.

progressive rollout banner Ta funkcja jest eksperymentalna i jest wprowadzana dla użytkowników Firefoksa poprzez stopniowe wdrażanie. Może nie być jeszcze dostępna dla wszystkich użytkowników.

  • Tryb HTTPS-Only Mode, to ustawienie, które użytkownicy mogą włączyć, aby mieć pewność, że Firefox nigdy nie nawiąże niezabezpieczonego połączenia bez uprzedniego poinformowania o tym użytkownika. Ponieważ większość stron internetowych obsługuje obecnie HTTPS, częste komunikaty pojawiające się przy odwiedzaniu stron HTTP mogą być dla użytkowników frustrujące. Z tego powodu tryb ten nie jest domyślnie włączony.
  • Istnieje kilka rozszerzeń do przeglądarki, które realizują pewne formy uaktualniania połączeń. Zazwyczaj są one przeznaczone do konkretnych zastosowań i skierowane do zaawansowanych użytkowników.

Inne żądania

Opisane powyżej mechanizmy dotyczą głównie tzw. żądań „najwyższego poziomu” (ang. top-level), czyli takich, które mają miejsce podczas wpisywania adresu URL w pasku adresu lub kliknięcia odnośnika. Firefox obsługuje również inne typy żądań, takie jak pobieranie obrazków czy innych zasobów podrzędnych potrzebnych do wyświetlenia strony internetowej. Podczas gdy tryb HTTPS-Only Mode w Firefoksie ma zastosowanie do wszystkich żądań, zasoby podrzędne są zazwyczaj uaktualniane przy użyciu następujących mechanizmów:

  • Dyrektywa upgrade-insecure-requests znajdująca się w nagłówku mechanizmu Content Security Policy (CSP) powoduje uaktualnienie żądań zasobów podrzędnych do bezpiecznego protokołu.
  • Algorytm zawartości mieszanej Mixed Content zapewnia, że jeśli żądanie najwyższego poziomu, czyli główne połączenie ze stroną zostało nawiązane w sposób zaszyfrowany, to zasoby podrzędne również muszą być ładowane bezpiecznie, w przeciwnym razie ich załadowanie zostanie zablokowane.

Osoby, które pomogły w tworzeniu tego artykułu:

Illustration of hands

Pomóż nam

Zdobywaj wiedzę i dziel się nią z innymi. Odpowiadaj na pytania i ulepsz naszą bazę wiedzy.

Więcej informacji