HTTPS Everywhere / security.mixed_content.upgrade_display_content

    HTTPS Everywhere öffnet die HTTPS-Version einer Webseite, wenn du nur die HTTP-Version aufrufst, eine HTTPS-Version existiert und HTTPS Everywhere eine Regel für diese Seite implementiert hat.

    security.mixed_content.upgrade_display_content wertet HTTP-Ressourcen auf HTTPS-Webseiten zu HTTPS auf, sofern die Ressourcen über HTTPS verfügbar sind. Rufst du die HTTP-Version einer Webseite auf, wirst du aber nicht automatisch zur HTTPS-Version der Webseite geleitet, falls vorhanden. Der Schalter greift nur, wenn du bereits auf einer HTTPS-Seite bist.

    Einen solchen Upgrade-Mechanismus kennt HTTPS Everywhere nicht.

    Beides macht also etwas jeweils ganz anderes und ersetzt sich nicht gegenseitig, sondern ergänzt sich.

    Ich möchte noch ergänzen, wieso ich den Einsatz von HTTPS Everywhere kritisch sehe: sobald du eine Webseite über HTTPS aufrufst, müssen alle Ressourcen (Bilder, CSS, Scripts, iFrames) ebenfalls über HTTPS eingebunden werden. Häufig kommen Ressourcen von anderen Servern und auf diesen ist nicht immer HTTPS verfügbar.

    Rufst du eine Webseite über HTTPS auf und die Webseite bindet eine Ressource nur über HTTP ein, haben wir Mixed Content. Bei Bildern ist das kein Thema, das Symbol in der Adressleiste ändert sich, aber alles funktioniert. Scripts und iFrames sind kritischer, denn die können überhaupt nicht geladen werden. Du siehst auch kein Anzeichen dafür, dass etwas fehlt.

    Wenn ein Webseitenbetreiber erzwingt, dass jede Seite über HTTPS aufgerufen wird, kannst du davon ausghen, dass alle Seiten über HTTPS funktionieren sollen. Erzwingt der Webseitenbetreiber jedoch kein HTTPS für alle Seiten, könnte es einen Grund haben, dass es so ist. Zum Beispiel eben solche Drittanbieter-Scripts / -iFrames, die nur über HTTP zur Verfügung stehen. Und dann bringt dich eine Erweiterung wie HTTPS Everywhere in eine Situation, in der du sonst nicht wärst.

    Mittlerweile sind übrigens eh mehr als 76 Prozent aller Seitenaufrufe in Deutschland HTTPS-Aufrufe [1], d.h. in mehr als drei von vier Fällen besteht überhaupt kein Bedarf und in den anderen Fällen steht ganz häufig sowieso nur eine HTTP-Version zur Verfügung, wo HTTPS Everywhere dann auch nichts tun kann. Die Fälle, in denen es dir praktisch was bringt, lassen sich vermutlich locker mit der Hand zählen.

    [1] https://letsencrypt.org/stats/#percent-pageloads

    Auch eine Sichtweise, da muss ich dir recht geben. Da ich Drittanbieter aber bis auf wenige Ausnahmen ohnehin blockiere, habe ich davon bisher wenig mitbekommen :) Ich weiß, ist eine recht restriktive persönliche Einstellung aber was soll's.