Tất cả xuất phát từ yêu cầu bảo mật của bạn, sự lựa chọn của người dùng và nguy cơ hạ cấp ngầm. Việc vô hiệu hóa phía máy chủ mật mã cũ phần lớn là cần thiết bởi vì các trình duyệt sẽ vui vẻ chuyển sang các thuật toán mã hóa hoàn toàn khủng khiếp phía máy khách dưới danh nghĩa trải nghiệm / tiện lợi của người dùng. Đảm bảo không có gì của bạn phụ thuộc vào kênh an toàn cho người dùng không thể đạt được bằng một phương pháp không an toàn, tất nhiên, cũng rất âm thanh.
Không cho phép tôi hạ cấp rõ ràng xuống HTTP không an toàn khi tôi cho rằng bài đăng trên blog của bạn về lý do tại sao bạn thích Python hơn Ruby (không nói bạn làm, chỉ là một ví dụ chung chung) không phải là điều tôi quan tâm đến những kẻ ma quái hay công chúng biết Tôi truy cập chỉ là cản trở tôi mà không có lý do chính đáng, với giả định rằng HTTPS sẽ là tầm thường đối với tôi.
Ngày nay, có những hệ thống nhúng không có khả năng sử dụng TLS ngoài hộp hoặc những hệ thống bị mắc kẹt trong các triển khai cũ (tôi nghĩ thật tệ khi điều này là như vậy, nhưng với tư cách là người sử dụng năng lượng của [chèn nhúng thiết bị ở đây], đôi khi tôi không thể thay đổi điều này).
Đây là một thử nghiệm thú vị: hãy thử tải xuống một phiên bản LibreSSL gần đây từ trang OpenBSD ngược dòng qua HTTPS với triển khai TLS / SSL đủ cũ. Bạn sẽ không thể. Tôi đã thử một ngày khác trên một thiết bị có bản dựng OpenSSL cũ hơn từ năm 2012 hoặc lâu hơn, vì tôi muốn nâng cấp hệ thống nhúng này thành các công cụ mới, an toàn hơn từ nguồn - Tôi không có sự sang trọng của gói dựng sẵn. Các thông báo lỗi khi tôi thử không chính xác trực quan, nhưng tôi cho rằng đó là do OpenSSL cũ của tôi không hỗ trợ đúng thứ.
Đây là một ví dụ trong đó động thái duy nhất - HTTPS thực sự có thể gây bất lợi cho mọi người: nếu bạn không có sự sang trọng của các gói dựng sẵn gần đây và muốn tự khắc phục sự cố bằng cách xây dựng từ nguồn, bạn đã bị khóa. Rất may, trong trường hợp LibreSSL, bạn có thể quay lại yêu cầu HTTP rõ ràng. Chắc chắn, điều này sẽ không cứu bạn khỏi kẻ tấn công đã viết lại lưu lượng truy cập của bạn, có khả năng thay thế các gói nguồn bằng các phiên bản bị xâm nhập và viết lại tất cả các tổng kiểm tra trong các phần thân HTTP mô tả các gói có sẵn để tải xuống trên các trang web bạn duyệt, nhưng nó vẫn hữu ích trong phần lớn trường hợp phổ biến hơn.
Hầu hết chúng ta không tải xuống một cách không bảo đảm khỏi việc sở hữu bởi một APT (Chủ đề liên tục nâng cao: biệt ngữ bảo mật cho các cơ quan tình báo quốc gia và các mối đe dọa mạng có nguồn lực rất tốt khác). Đôi khi tôi chỉ muốn wget
một số tài liệu văn bản đơn giản hoặc một chương trình nhỏ có nguồn mà tôi có thể nhanh chóng kiểm tra (ví dụ: các tiện ích / tập lệnh nhỏ của riêng tôi trên GitHub) vào một hộp không hỗ trợ các bộ mật mã gần đây nhất.
Cá nhân, tôi hỏi điều này: nội dung của bạn sao cho một người có thể quyết định một cách hợp pháp "Tôi ổn khi tôi tiếp cận với kiến thức công cộng"? Có khả năng rủi ro thực sự đối với những người không có kỹ thuật vô tình hạ cấp xuống HTTP cho nội dung của bạn không? Cân nhắc các yêu cầu bảo mật của bạn, các yêu cầu bảo mật cho người dùng của bạn và nguy cơ hạ cấp ngầm đối với khả năng người dùng hiểu các rủi ro đưa ra lựa chọn sáng suốt trong từng trường hợp cụ thể không được bảo đảm. Hoàn toàn hợp pháp khi nói rằng đối với trang web của bạn, không có lý do chính đáng nào để không thi hành HTTPS - nhưng tôi nghĩ thật công bằng khi nói rằng vẫn còn những trường hợp sử dụng tốt cho HTTP đơn giản ngoài kia.