La redirección de HTTP a HTTPS no es algo malo. Lo que está mal es confiar en él como si fuera una característica de seguridad.
Esta redirección es un faro, destinado a permitir que los barcos perdidos en el mar en la tormenta entiendan dónde están y, con suerte, les brinden una mejor oportunidad de llegar a un refugio seguro. Nadie afirma que los faros hagan desaparecer la tormenta; simplemente mejoran las probabilidades de un final feliz para las malas condiciones.
Lo único malo que se puede decir acerca de una redirección automática de HTTP a HTTPS es que genera complacencia . Si un usuario se equivoca, por ejemplo al tratar de acceder al sitio web como HTTP en lugar de HTTPS, la redirección automática le permite persistir en sus formas equivocadas, ocultando el hecho de que su URL inapropiada lo expuso a la vengativa de los habitantes de Internet, algunos de los cuales son proactivamente malvados a veces. La desactivación de esta redirección podría interpretarse como más pedagógica . Sin embargo, este punto de vista es algo poco realista; la mayoría de los propietarios de sitios web no están en posición de educar a los usuarios . Lo que quieren es captar la atención de clientes potenciales . Si comienza a dificultar el acceso a su sitio web, simplemente desaparecerán; no serán educados en lo más mínimo, y las empresas sufrirán.
"Lo que no nos mata nos hace más fuertes". Una frase pegadiza de un filósofo loco más de la mitad; pero no necesariamente aplicable al público en general como una política educativa. El problema de hacer que las personas sean más fuertes al tratar de matarlos es que a veces tienes éxito, quiero decir que matarlas,
Como explica mr spuratic, para mejorar realmente las cosas, el navegador debería usar HTTPS de forma predeterminada; idealmente, toda la Web sería solo para HTTPS: si los navegadores prueban HTTPS primero pero recurren a HTTP en caso de errores, entonces un atacante activo puede simular el fallo y forzar un repliegue. DNSSEC, junto con los registros SRV apropiados, podría anunciar, de manera segura, que un servidor determinado solo se debe usar con HTTPS, pero esto funcionará de manera confiable solo cuando ... funcionará en todas partes (el mismo problema de arranque que IPv6).
Mientras tanto, una redirección llevará a las ovejas extraviadas al establo, incluso cuando las ovejas desconocen por completo a las bestias salvajes que vagan por el campo nocturno. Esto generalmente se considera un método más eficiente que tratar de enseñar a las ovejas a no alejarse.