Respuestas a ¿Por qué HTTPS no es el protocolo predeterminado? declare que muchos sitios siguen usando HTTP transparente en lugar de HTTPS porque todos estos son verdaderos:
- Un número considerable de visitantes al sitio utiliza Internet Explorer 6, 7 u 8 para Windows XP (IE / XP).
- IE / XP puede ver solo el primer certificado en el puerto 443 de una dirección IP dada porque usa la biblioteca TLS de Windows XP, que carece de soporte para la Indicación de nombre de servidor (SNI). (Chrome y Firefox en Windows XP usan diferentes bibliotecas TLS que admiten SNI).
- El sitio comparte una dirección IPv4 con otro sitio HTTPS porque no puede permitirse una dirección IPv4 dedicada cada vez más escasa.
Sin embargo, a partir de abril de 2014, el soporte extendido para IE / XP y el resto de Windows XP ha finalizado. Esto significa que hay defectos en IE / XP que Microsoft ya no solucionará. Un actor malintencionado podría instalar software no deseado mediante la explotación de una vulnerabilidad de día cero como resultado de uno de estos defectos, lo que anularía el propósito de confidencialidad de HTTPS de una de estas dos formas:
- Un keylogger podría capturar todas las credenciales de pago, como los números de tarjetas de crédito y las contraseñas de Amazon o PayPal, que un usuario de IE / XP ingresa en los sitios HTTPS.
- Un proxy y una autoridad de certificación que se ejecutan en la máquina local podrían realizar un ataque de hombre en el medio (MITM) en todas las conexiones HTTPS del usuario.
¿Qué factores debe sopesar el operador de un sitio web al determinar si continuar intentando ofrecer páginas seguras a los usuarios de IE / XP? ¿Hay algún argumento abrumador a partir del primer trimestre de 2015 para acomodar o bloquear IE / XP en un sitio seguro?