Tutto dipende dai requisiti di sicurezza, dalla scelta dell'utente e dal rischio di downgrade implicito. La disabilitazione delle vecchie cifrature lato server è in gran parte necessaria perché i browser passeranno felicemente a cifrature assolutamente orribili lato client in nome dell'esperienza / convenienza dell'utente. Accertarsi che nulla del tuo che dipenda da un canale sicuro per l'utente non possa essere raggiunto con un metodo insicuro è, ovviamente, anche molto valido.
Non permettermi di effettuare il downgrade esplicito a HTTP non sicuro quando ho ritenuto che il tuo post sul blog sul perché ti piaccia Python più di Ruby (non dico che lo fai, solo un esempio generico) non è qualcosa che mi preoccupa gli spettri o il pubblico che lo sa Ho avuto modo di accedermi senza motivo, supponendo che HTTPS sarà banale per me.
Esistono, oggi, sistemi embedded che non hanno la possibilità di usare TLS out of the box, o quelli che sono bloccati su vecchie implementazioni (penso che sia terribilmente male che sia così, ma come un potente utente di [insert embedded dispositivo qui], a volte non posso cambiarlo).
Ecco un esperimento divertente: prova a scaricare una versione recente di LibreSSL dal sito OpenBSD upstream su HTTPS con un'implementazione TLS / SSL sufficientemente vecchia. Non sarai in grado di farlo. Ho provato l'altro giorno su un dispositivo con una build OpenSSL precedente a partire dal 2012 o giù di lì, perché volevo aggiornare questo sistema incorporato a roba più sicura e nuova dalla fonte - non ho il lusso di un pacchetto predefinito. I messaggi di errore quando ho provato non erano esattamente intuitivi, ma presumo fosse perché il mio vecchio OpenSSL non supportava le cose giuste.
Questo è un esempio in cui la mossa che l'unico-HTTPS può effettivamente danneggiare le persone: se non hai il lusso dei recenti pacchetti pre-costruiti e vuoi risolvere tu stesso il problema costruendo dal sorgente, sei bloccato. Per fortuna, nel caso di LibreSSL, puoi tornare indietro a richiedere esplicitamente HTTP. Certo, questo non ti salverà da un utente malintenzionato che sta già riscrivendo il tuo traffico, in grado di sostituire i pacchetti sorgente con versioni compromesse e riscrivere tutti i checksum nei corpi HTTP descrivendo i pacchetti disponibili per il download sulle pagine Web che navighi, ma è ancora utile in molti caso più comune.
La maggior parte di noi non è un download non protetto lontano da essere di proprietà di un APT (Advanced Persistent Thread: gergo di sicurezza per agenzie di intelligence nazionali e altre minacce informatiche estremamente ben fornite). A volte voglio solo wget
una semplice documentazione di testo o un piccolo programma la cui fonte posso controllare rapidamente (le mie piccole utilità / script su GitHub, per esempio) su una scatola che non supporta le suite di crittografia più recenti.
Personalmente, lo chiederei: i tuoi contenuti sono tali che una persona possa legittimamente decidere "Sono d'accordo con me accedendo come conoscenza pubblica"? Esiste una plausibile possibilità di rischio reale per le persone non tecniche che effettuano il downgrade accidentale a HTTP per i tuoi contenuti? Valutare i requisiti di sicurezza, i requisiti di privacy obbligatoria per i propri utenti e il rischio di downgrade impliciti rispetto alla capacità degli utenti che comprendono i rischi di effettuare una scelta informata caso per caso per non essere garantiti. È del tutto legittimo affermare che per il tuo sito non ci sono buoni motivi per non applicare HTTPS, ma penso sia giusto dire che ci sono ancora buoni casi d'uso per il semplice HTTP.