HTTPS Everywhere es una gran característica, pero el problema que veo es que depende del navegador del usuario y del tipo de navegador. Además, será realmente difícil administrar el navegador de dispositivos móviles y tabletas.
Será ideal si manejamos la aplicación de HTTPS desde su propio servidor. Si está alojando un portal muy confidencial, entonces puede solicitar una sesión segura para todas las páginas (servlets, etc.), de lo contrario, también puede aplicarlas en páginas particulares. Creo que estamos obligados a garantizar la seguridad de la capa de transporte cuando sea necesario desde el propio servidor. Por lo tanto, las páginas donde se muestra el inicio de sesión / autenticación o los datos confidenciales del usuario deben protegerse mediante HTTPS y el servidor debe denegar el enlace mediante HTTP.
A veces tiene sentido no imponer una sesión segura para todas las páginas o datos, por ejemplo, imágenes, ya que la sobrecarga de la sesión consumirá más ancho de banda tanto para el cliente como para el servidor.
En lo que se refiere a la seguridad de HTTPS en todas partes, podría estar asegurada pero no puede confiar en su comportamiento y propiedades para la aplicación de la seguridad. De ambas formas, debe asegurarse de que las páginas confidenciales o las páginas de autenticación tengan que pasar por el canal HTTPS que se aplica desde su servidor.