Isso é chamado de página "conteúdo misto".
Se a página HTTPS incluir conteúdo recuperado por meio de HTTP comum, em texto não criptografado, a conexão será criptografada apenas parcialmente: o conteúdo não criptografado poderá ser acessado pelos farejadores e poderá ser modificado pelos invasores intermediários e, portanto, a conexão não será mais protegida. .
https://developer.mozilla.org/en-US/docs/Security/MixedContent
As declarações não são contraditórias, mas complementares; e um pouco confuso, talvez. A primeira diz que a página em si não é totalmente segura porque contém elementos não criptografados (todos os navegadores da Web o notificarão disso), enquanto a segunda observa que esses elementos foram bloqueados automaticamente pelo Firefox.
Se o Firefox não bloquear os elementos não criptografados, então a página não seria segura.
(O HTTPS Everywhere não garante uma conexão segura. Ele apenas tenta forçar o HTTPS quando estiver disponível; caso contrário, não há nada que um usuário / navegador possa fazer sobre isso, mas bloqueie o conteúdo não seguro.)