¿Puede MITM cambiar el protocolo?

Al contrario de la intuición, el hecho de que https://foo.com cambie a http://foo.com en el navegador moderno significa que foo.com no admite https, y quien esté emitiendo el redireccionamiento tiene el certificado para foo.com (y no cualquier certificado, uno en el que confíe su navegador). De lo contrario, el servidor en foo.com no podría instruir a su navegador para que redirija, ya que el comando de redirección ( Location: http://foo.com en combinación con el código de estado adecuado) es parte del protocolo http, en el que el navegador no comienza a hablar con el servidor hasta El protocolo de enlace SSL se completó correctamente.

Mi respuesta anterior:

Si un sitio no usa https, ya es "sniffable", por lo que no importa que redirija de https a http. No hay nada adicional para aprovechar, ya que es http.

En cambio, si un sitio es puramente https, ahí es donde el ataque MITM podría aprovechar el cambio del protocolo a http. Esto es ciertamente posible, y es por eso que cuando visita un sitio que solicita o muestra información personal, debe asegurarse de que el sitio esté usando https con un certificado válido. Si no es así, es posible que ocurra un MITM y que su tráfico se vea comprometido.

Edit: Estoy aquí sentado, atándome los sesos, tratando de averiguar cómo mi respuesta podría ser rechazada. Pero ahora me doy cuenta de que entendí mal la pregunta. (Y también lo hizo Badskillz a juzgar por su comentario.) Pensé que la pregunta era algo como: "¿Pueden los atacantes forzar una redirección a http en un sitio que solo tiene http (o redirecciona de https a http)?" Cuando, de hecho, parece que la pregunta es: ¿es posible que foo.com supuestamente esté usando https, pero un ataque MITM activo lo está redirigiendo a http? La respuesta es Sí, es posible que un ataque MITM haga eso. Por supuesto, es mucho más probable que en algún lugar de foo.com haya páginas que usen https, y esas páginas se vean obligadas a usar https, y el resto del sitio se vea obligado a usar http, por lo tanto, la redirección. Si está en su sitio de banca y ve una redirección a http, es mucho más probable que empiece a pensar que podría deberse a un ataque MITM.

Dejo mi respuesta anterior porque sigue siendo información precisa.

No, no hay nada de malo en eso.

Muchos sitios web funcionan de esa manera porque saben que sus visitantes se olvidan fácilmente de escribir https:// , ya que ni siquiera conocen la diferencia entre HTTP y HTTPS. Ese es el único propósito del comportamiento que describiste: para no perder su audiencia, muchos sitios web eligen comportarse así.

El servidor Apache es el más extendido como este estudio de Netcraft menciones :

Sobreestabase,podemosmencionarunodelosmétodosmáscomunesutilizadosenApacheparaobtenerelresultadoquedescribióaprovechandosumod_rewrite utilizado para volver a escribir las URL solicitadas por las reglas que, si están habilitadas, permiten alcanzar ese objetivo al agregar httpd.conf file estas líneas:

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} 

Sí, pueden. Cuando ven un intento de establecer una conexión TLS con un servidor, pueden interceptarla y responder con un mensaje de error falso que indica que el servidor no es compatible con TLS. Esta técnica se conoce como eliminación de SSL .