HTTP/1.1 Upgradeヘッダー

1つの用途としては、リクエストを通常のHTTPポートで開始し、Transport Layer Security（TLS）に切り替える場合が挙げられる^[1]。実用的にはそのような使い方は稀であり、暗号化HTTPの通信の開始時にHTTPSを利用するほうが非常に一般的である。

サーバーは426ステータスコードを返すことで、レガシークライアントに失敗がクライアントに関係することを警告できる（400 レベルコードは、クライアントの失敗であることを意味する）。

セキュアな接続を確立するためのこの方法は、次のような理由で有利である。

• 複雑で問題が多いサーバーサイドのURLリダイレクトを必要としない
• セキュアなウェブサイトのヴァーチャルホスティングが可能になる（ただし、HTTPSではServer Name Indicationを使用することも可能である)
• 特定のリソースにアクセスする手段を1つにすることで、ユーザーの混乱を防ぐことができる

同一のリソースが暗号化されたセキュアな方法と暗号化されていない方法の両方でサーバーから取得できる場合、サーバーとの暗号化されたコネクションを保持しながらも、中間者がクライアントとの接続が暗号化と認証が行われていない状態を保持できてしまう可能性がある。

この手法の欠点には次のような点が挙げられる。

• クライアントがURI内にセキュアなHTTPの要件を指定できない（ただし、クライアントはupgradeのネゴシエーションで要求することはできる）
• HTTPはホップベースで定義されているため、HTTPトンネル（英語版）はバイパス用のプロキシサーバーを必要とする可能性がある。

WebSocketもこの仕組を使用してHTTPサーバーと互換性のある方法で接続を確立する^[2]。WebSocket Protocolは2つのパートに分かれる。ハンドシェイクはupgradeされた接続を確立し、その後、実際のデータを転送する。最初に、クライアントはWebSocket接続をUpgrade: WebSocketとConnection: Upgradeヘッダーを使用してリクエストする。サーバーは、プロトコルをサポートしていれば、同一のUpgrade: WebSocketとConnection: Upgradeヘッダーで応答し、ハンドシェイクを完了する^[3]。一度ハンドシェイクが成功裏に完了したら、データの転送が始まる。

かつて、HTTP Upgradeを利用して平文のHTTP/1.1接続からHTTP/2を確立する方法が規定されていた^[4]。クライアントはHTTP/1.1接続を開始し、Upgrade: h2cヘッダーを送信する。もしサーバーがHTTP/2をサポートしていれば、HTTP 101 Switching Protocolステータスコードを付加して応答する。この仕組みはcleartext HTTP2（h2c）でのみ使用される。

この方法は後のRFC 9113で廃止となった^[5]。

• 日和見暗号化
• Secure Hypertext Transfer Protocol

• Hypertext Transfer Protocol (HTTP) Upgrade Token Registry at IANA