Entiendo que HTTPS Everywhere redirige los sitios web a una versión https: // si lo admiten.
Mi pregunta es, si los sitios web tienen una versión compatible con https: // ¿por qué no los están utilizando en primer lugar?
Supongamos que está utilizando un navegador muy antiguo que no puede conectarse al servidor mediante TLS, porque el servidor no admite las versiones antiguas de TLS y / o los conjuntos de cifrado TLS obsoletos que admite el navegador. Por ejemplo, IE6 en WinXP admite en el mejor de los casos SSLv3 + 3DES, e IE8 en WinXP es compatible en el mejor TLS 1.0 + 3DES. SSLv3 es inseguro porque el relleno CBC no es determinista y no está cubierto por MAC [1], y 3DES no es muy seguro (¿inseguro?) Porque su tamaño de bloque es de 64 bits [2]. Muchos servidores no admiten ninguna versión TLS ni un conjunto de cifrado que permita que Internet Explorer en Windows XP (con todos los parches aplicados) se conecte, por ejemplo, al menos para descargar un navegador más reciente.
Si se encuentra en un navegador de este tipo y el sitio web implementó una redirección obligatoria de las URL de http a https, sería SOL.
Otra razón es que algunos sitios están bajo la impresión errónea y anacrónica de que el cifrado es computacionalmente caro y que el rendimiento de su servidor se vería gravemente degradado al gastar los ciclos de la CPU en criptografía, por lo que usan TLS "cuando sea necesario" (página de inicio de sesión, página de pago) y no use TLS "cuando no sea necesario" (navegar por el catálogo de productos), para "mejorar el rendimiento del sitio".
Algunos sitios se construyeron e implementaron hace algún tiempo y no se han actualizado en algunos años. En ese momento, las personas eran menos conscientes de la situación de la vigilancia total y del problema de la autenticidad y la integridad de los datos. Básicamente, pensaron que si la confidencialidad no es importante, no se necesita TLS y, por lo tanto, las personas malas pueden inyectar un mal javascript en los sitios y los virus en los ejecutables a medida que se descargan, con impunidad.
1 - enlace
2 - enlace
Parte del motivo para usar el complemento HTTPS Everywhere es que los sitios que admiten https de forma predeterminada aún pueden aceptar conexiones http e inmediatamente redirigir al usuario al https sitio (una razón para hacer esto es para que los enlaces antiguos sigan funcionando, más o menos de manera transparente). Si está enviando información confidencial que está oculta por https , como una cookie o una URL, esa información quedará expuesta cuando realice su primera conexión a través de http . Por lo tanto, la extensión HTTPS Everywhere puede protegerlo de la pérdida accidental de información al hacer clic en los marcadores antiguos o en los enlaces a la versión http de un sitio.
Probablemente por razones de rendimiento heredado y para permitir una integración más fácil con proveedores externos (por ejemplo, redes de publicidad).
Este sitio se carga desde Google usando HTTP simple como predeterminado. Sin embargo, si ejecuta HTTPS en todas partes, puede cargarse completamente a través de HTTPS.
Algunos sitios solo tienen ciertas áreas cargadas a través de HTTPS de forma predeterminada (por ejemplo, el proceso de pago). HTTPS Everywhere también forzará el resto de la carga del sitio a través de HTTPS, ofreciendo una mayor seguridad, pero puede haber advertencias de contenido mixto.
Lea otras preguntas en las etiquetas web-browser tls browser-extensions