Me doy cuenta de que hay preguntas similares en torno a este tema, sin embargo, creo que esto es lo suficientemente diferente / enfocado para no ser un duplicado. Espero que no suene como una caja de jabón.
HTTP / 2 obliga efectivamente a TLS, ya que no hay una implementación de navegador que admita h2c.
Si bien los objetivos del movimiento "SSL en todas partes" parecen razonables, no estoy convencido. Me preocupa que, en la práctica, haga que la web sea menos segura al tiempo que crea la ilusión de seguridad.
En muchas partes del mundo occidental, el ancho de banda existe en cantidades suficientes para que el almacenamiento en caché local se pase por alto como una preocupación, ciertamente no es universal. De hecho, la conectividad confiable es un problema en algunas ubicaciones, y un proxy de almacenamiento en caché es un solución atractiva.
Ya existen proxys TLS que pueden usarse para mitigar esto, siempre que alguien esté dispuesto a instalar una CA raíz para aceptar contenido firmado nuevamente. Algunos escritorios corporativos hacen esto como parte de una compilación estándar. Forzar el TLS en los usuarios web fomentará esta práctica.
También habrá casos en los que, en lugar de instalar una CA raíz, los usuarios se acostumbrarán a aceptar certificados autofirmados o sospechosos, posiblemente a un nivel en el que se convertirá en automático incluso para sitios que realmente no deberían tener este problema.
Hay un impacto psicológico en producir el mensaje de que "este sitio es seguro": predispone a los usuarios a pensar que si pueden ver un candado seguro / marca verde / lo que sea, no necesitan preocuparse por la información. están compartiendo, y por qué: los sitios legítimos pueden ser pirateados, los de menor reputación pueden obtener certificados SSL, y si no hay al menos una agencia de inteligencia o un cartel del crimen organizado que tenga una copia de un certificado CA de raíz real, entonces yo Soy una tetera.
Espero que puedas convencerme de que estoy equivocado; ¿Existen razones técnicas sólidas para que los navegadores exijan TLS para http2?
Pensamiento posterior Si bien aprecio plenamente las preocupaciones planteadas por la NSA y GCHQ al ser espiado en las plataformas de redes sociales y de correo electrónico populares basadas en la web, me sorprende que las plataformas administradas por corporaciones multinacionales sean consideradas más confiables, algunas, si no todas, de ellas. are está recopilando inteligencia, renombrada y justificada por publicidad dirigida.