¿Es más seguro especificar https: // delante de un dominio?

  

Entonces, ¿solicitaría una conexión insegura (http), me redireccionaría a   El protocolo seguro https por la respuesta http, y por lo tanto haciendo una menor   solicitud segura?

Depende.
En general, la respuesta es sí, primero está realizando una solicitud HTTP insegura y luego el servidor le informa (con suerte con una respuesta 301 ) que debe usar el sitio HTTPS en su lugar y el navegador lo carga. Por supuesto, en la primera solicitud insegura puede pasar cualquier cosa, incluido que se te haya enviado un sitio web falso. Sin embargo, hay (al menos) tres excepciones a esta regla, que harán que el navegador busque la versión de HTTPS directamente. ¡Así que vamos a revisarlos!

• 301 Redirect Caching. 301 es el código de estado HTTP para "mover permanentemente" y algunos navegadores guardan en caché esta respuesta y ya ni siquiera intentan solicitar el sitio anterior, sino que lo envían directamente al nuevo. uno, por razones de rendimiento y, en este caso, un redireccionamiento de HTTP a HTTPS también se beneficiaría de esto.
• Complementos del navegador. Hay complementos del navegador que mantienen una base de datos de dominios que admiten HTTPS (algo) y si solicita datos de cualquiera de estos dominios, el complemento volverá a escribir el Solicitud para solicitar la versión HTTPS del sitio. HTTPS Everywhere hace esto famoso y cubre una amplia gama de sitios web que no consideran que sus HTTPS estén "listos para la producción" (< a href="https://meta.stackexchange.com/q/292058/296259"> como Stackexchange antes de marzo de 2017 ).
• Seguridad de transporte estricta de HTTP (HSTS). Esta es una marca en el encabezado de respuesta HTTP que indica que solo se puede acceder al sitio (y opcionalmente a todos sus subdominios) usando HTTPS durante los próximos días especificados sin excepción . De esta manera, cuando solicite un dominio HSTS conocido, el navegador convertirá directamente la solicitud HTTP en una solicitud HTTPS automáticamente. Como beneficio adicional, puede registrarse para la precarga de HSTS para su sitio con los proveedores del navegador y luego los navegadores vendrán con su entrada de HSTS pre-equipada a partir de la próxima actualización. Stackexchange ha implementado HSTS sin precarga (en la mayoría de los sitios).

Sí, es mejor especificar explícitamente https desde el principio.

Mientras que los webmasters "adecuados" implementan cosas como 301/302 redirecciones y HSTS. No todo el mundo hace esto. Recientemente realicé un análisis de los sitios web del gobierno de Malasia y descubrí que un número significativo de sitios no lo redirecciona de http a https , a pesar de que existe el sitio https .

Esto significa que los clientes que llaman al sitio http solo obtienen el sitio http , aunque existe una opción más segura. El cliente debe llamar explícitamente a https si quiere la versión segura.

Otros sitios usan javascript para redirigir a los usuarios de http a https , lo cual puede fallar si has bloqueado scripts como yo.

Al especificar https desde el inicio, primero solicitará el sitio seguro, lo que le ahorrará tiempo (no más redirecciones) y se asegurará de que siempre obtenga la página segura.

Lamentablemente, la razón por la que los navegadores no hacen que este sea el comportamiento predeterminado es que no todos los sitios tienen https , pero se espera que todos los sitios con https tengan un http (aunque solo sea para redirigir), así que todo el valor predeterminado es http primero, y es de esperar que ocurra una redirección.

Como última nota, si el sitio tiene HSTS. El Navegador se redirigirá automáticamente (redirección 307) para el max-age que HSTS está configurado, en cuyo caso el navegador toma como valor predeterminado https hasta que caduque el tiempo máximo.