Для принудительного установления защищенного соединения браузер пользуется серверным механизмом HTTP Strict Transport Security, сообщают в Mozilla.

С помощью HSTS сервер сигнализирует о необходимости защиты соединения. Но когда браузер подключается к такому серверу впервые, то неизвестно, следует ли применять защищенное соединение, поскольку он может оказаться ненадежным.  Чтобы обойти эту проблему, в Firefox внесли заранее составленнный список доменов, с которыми по умолчанию следует соединяться по HTTPS. Так что даже если атакующие попытаются заставить сервер соединяться по незащищенным протоколам, браузер этого не допустит, полагают в Mozilla.

Список частично позаимствован из аналогичного перечня Google Chrome. Он заставляет браузер защищенно соединяться со всеми субдоменами google.com, а также с сайтами, чьи операторы попросили внести их в список. Например, HTTPS-соединения устанавливаются с paypal.com, twitter.com, lastpass.com и torproject.org.