Sí, es mejor especificar explícitamente https
desde el principio.
Mientras que los webmasters "adecuados" implementan cosas como 301/302 redirecciones y HSTS. No todo el mundo hace esto. Recientemente realicé un análisis de los sitios web del gobierno de Malasia y descubrí que un número significativo de sitios no lo redirecciona de http
a https
, a pesar de que existe el sitio https
.
Esto significa que los clientes que llaman al sitio http
solo obtienen el sitio http
, aunque existe una opción más segura. El cliente debe llamar explícitamente a https
si quiere la versión segura.
Otros sitios usan javascript para redirigir a los usuarios de http
a https
, lo cual puede fallar si has bloqueado scripts como yo.
Al especificar https
desde el inicio, primero solicitará el sitio seguro, lo que le ahorrará tiempo (no más redirecciones) y se asegurará de que siempre obtenga la página segura.
Lamentablemente, la razón por la que los navegadores no hacen que este sea el comportamiento predeterminado es que no todos los sitios tienen https
, pero se espera que todos los sitios con https
tengan un http (aunque solo sea para redirigir), así que todo el valor predeterminado es http primero, y es de esperar que ocurra una redirección.
Como última nota, si el sitio tiene HSTS. El Navegador se redirigirá automáticamente (redirección 307) para el max-age
que HSTS está configurado, en cuyo caso el navegador toma como valor predeterminado https
hasta que caduque el tiempo máximo.