Quando você navega na web usando o Firefox, o navegador pode atualizar automaticamente sua conexão do protocolo HTTP menos seguro para o protocolo HTTPS mais seguro. Isso garante que os sites que você visita sejam autênticos e que qualquer informação que você enviar, como senhas ou dados pessoais, seja criptografada e protegida contra interceptação. Como a maioria dos sites hoje suporta HTTPS, essa atualização geralmente acontece sem problemas. Mesmo que um link use o formato mais antigo http://, o Firefox ainda pode tentar se conectar com segurança via HTTPS, pois muitos links mais antigos ainda existem, embora os próprios sites agora suportem HTTPS. Isso ajuda a manter sua experiência de navegação perfeita e segura.

Qual é a diferença entre HTTP e HTTPS?

HTTP significa Protocolo de Transferência de Hipertexto. É o protocolo fundamental para a web e codifica interações básicas entre navegadores e servidores da web. O problema com o protocolo HTTP regular é que os dados transferidos do servidor para o navegador não são criptografados, o que significa que os dados podem ser visualizados, roubados ou alterados. Os protocolos HTTPS corrigem isso usando um certificado Transport Layer Security (TLS). Isso cria uma conexão criptografada segura entre o servidor e o navegador, que protege informações confidenciais.

Mecanismos de atualização diferentes

Os mecanismos de atualização de conexão podem ser agrupados com base em dois fatores:

1. Quem inicia a atualização (o navegador ou o servidor da web).
2. O tipo de conexão que está sendo atualizada.

As seções abaixo explicam esses mecanismos em detalhes.

Atualizações iniciadas pelo servidor

Quando um servidor da web indica que suporta HTTPS, o navegador pode alternar automaticamente para uma conexão segura. O servidor pode usar vários métodos para conseguir isso:

• HTTP Strict Transport Security (HSTS) é um padrão que permite que sites comuniquem ao navegador que eles suportam conexões seguras, e o navegador se lembrará disso para conexões futuras. É complementado por uma lista integrada de tais sites, a Lista de pré-carga HSTS.
• HTTPS Resource Records (HTTPS RR) são entradas DNS especiais que informam a um navegador que um servidor da web suporta HTTPS.
• Embora não seja tecnicamente uma atualização de conexão, muitos sites redirecionam conexões HTTP para HTTPS usando os códigos de status de redirecionamento como 301 Movido Permanentemente.

Atualizações iniciadas pelo navegador

Se o navegador não puder determinar se um servidor web suporta HTTPS, ele ainda pode tentar atualizar a conexão. Como o HTTPS é amplamente suportado, esse processo geralmente é bem-sucedido. O Firefox suporta vários recursos de atualização iniciados pelo navegador:

• Modo Somente HTTPS é uma configuração que os usuários podem ativar para garantir que o Firefox nunca estabeleça uma conexão insegura sem solicitar ao usuário primeiro. Como a maioria dos sites agora suporta HTTPS, os usuários podem achar frustrantes os prompts frequentes do Modo Somente HTTPS quando encontram sites HTTP. Por esse motivo, não está habilitado por padrão.
• Existem várias extensões da web que realizam algum tipo de atualização de conexão. Estes servem principalmente a casos de uso específicos para públicos especializados.

Outros pedidos

Os mecanismos descritos acima se aplicam principalmente a solicitações de "nível superior" ou navegação, como digitar uma URL na barra de endereços ou clicar em um link. O Firefox também lida com outros tipos de solicitações, como baixar imagens ou outros subrecursos para uma página da web. Embora o Modo Somente HTTPS no Firefox se aplique a todas as solicitações, os sub-recursos geralmente são atualizados usando os seguintes mecanismos:

• A diretiva Content Security Policy (CSP) upgrade-insecure-requests em uma página da web atualizará as solicitações de sub-recursos.
• O algoritmo Mixed Content garante que, se a solicitação de nível superior para um site foi criptografada, os subrecursos também serão carregados com segurança ou a conexão será bloqueada.