Esto dice más sobre la fricción en los procesos empresariales que sobre la tecnología.
Para que una empresa configure su sitio web con https en todo el proceso, tienen que ordenar los certificados y la configuración por adelantado. Eso requiere un montón de procesos de administración y seguridad de fondo, todos los cuales agregan fricción al proyecto de implementación que probablemente ya no cuenta con fondos suficientes y está bajo la presión de entregar.
Por lo tanto, conceptualmente es más fácil para el proyecto implementar un sitio web "estándar" y luego preocuparse por la seguridad una vez que hayan demostrado que el sitio básico es lo suficientemente robusto y eficaz.
HTTPS hace que algunas cosas sean más complejas de administrar y pensar en estrategias de almacenamiento en caché de extremo a extremo es un poco más difícil de administrar.
Ninguna de estas cosas es excusa realmente, pero esa es mi opinión, desde la experiencia, sobre el proceso empresarial.
Está cambiando y si cambia el enlace a https encontrará que realmente se ha implementado de modo que tal vez solo sea la forma en que se escribió y comunicó la URL, a menudo por personas que no son expertos. http debería estar deshabilitado por supuesto.
Los servicios como el excelente Cloudflare también ayudan, ya que todos pueden presentar su sitio a través de https, incluso sin obtener su propio certificado (aunque obviamente, todavía necesita al menos un certificado autofirmado para ayudar a proteger el tráfico entre su servidor y Cloudflare).