Muchos sitios habilitados para openid están predeterminados para los identificadores http, incluso si el proveedor de openid admite https (como myopenid.com).
¿Esto representa una amenaza al lado de la identidad que se expone? El segundo paso de la autenticación openid incluye una verificación de la firma proporcionada por el proveedor de identidad. ¿Pero no podría un proveedor de identidad en bruto simplemente firmar algo? Quiero decir, ¿hay un paso en el protocolo openid que verifique que el proveedor es válido para el openid ingresado?
Editar: Esta pregunta es sobre consumidores como Stack Exchange, no proveedores de identidad. Stack Exchange solo usa https para Google y http sin cifrar para todos los demás proveedores de OpenID. Sé que myopenid.com admite https, pero Stack Exchange no lo usa. Lo mismo es cierto para otros lados, incluso aquellos que usualmente toman la seguridad más seriamente que Stack Exchange, e. sol. Fuente Forge.