No, no es obligatorio, pero debes ser extremadamente cuidadoso si no lo haces.
HTTPS puede detener al hombre en los ataques medios, a lo que HTTP es muy vulnerable.
Sin embargo, HTTPS conlleva una sobrecarga del procesador (y, por lo tanto, de la velocidad). HTTPS hace que los datos de fuera de sesión no se almacenen en caché y, por lo tanto, pueden volver a descargar el contenido con cada visita. También le impide usar (o hace que sea mucho más difícil de usar) las redes de distribución de contenido.
Por lo tanto, muchos sitios intentan arreglárselas sin él, pero es una línea peligrosa, ya que mezclar HTTP y HTTPS es muy arriesgado: tiene que usar cookies de autenticación HTTPS, lo que significa que su usuario solo iniciará sesión cuando visite páginas HTTPS. .
Si alguna vez permites que una cookie de autenticación HTTPS se envíe a una página HTTP, entonces dejas abierta una ruta de ataque fácil para los piratas informáticos.
Lo que hacen muchos sitios es esto:
- Los usuarios anónimos pueden navegar por la tienda electrónica y crear una cesta de la compra
- Una vez que continúen con el proceso de pago o inicien sesión , cambian a la versión (más lenta) segura de HTTPS.
- Se les da una cookie de autenticación solo para HTTPS, y algunas veces también una cookie HTTP con solo el nombre de usuario.
Esto es lo que hace Amazon: las cookies que contienen su nombre de usuario y la cesta no son seguras y se pueden eliminar fácilmente, pero tiene que iniciar sesión en el área HTTPS (o tener una cookie HTTPS válida e caducada) para comprar o ver su cuenta.
Sin embargo, esa es una línea muy fina, necesita buenos desarrolladores y personal de soporte (altamente conscientes de la seguridad). Para la mayoría de los sitios, es mucho más fácil y con menor riesgo para solo HTTPS todo.
Actualización 2016
Ya no creo que mi respuesta sea correcta. HTTPS es ahora obligatorio, por un par de razones:
- HTTP / 2 significa que los sitios seguros suelen ser mucho más rápidos.
- Varias funciones avanzadas son solo HTTPS, como los trabajadores de servicio.
- Google Chrome (y probablemente otros navegadores pronto) están marcando cada vez más los sitios que no usan HTTPS. Para 2017, en lugar de solo el candado verde, los sitios sin HTTPS mostrar una advertencia :