Per aggiungere alla risposta di @ NeilSmithline, TLS (e quindi HTTPS) include anche due funzioni oltre all'autenticazione del server: crittografia (che garantisce privacy / riservatezza) e integrità (che garantisce che i dati non vengano manomessi). Entrambi possono essere molto importanti.
Per un sito di download, la rilevanza della crittografia dipende in realtà solo dal fatto che i file offerti per il download siano qualcosa che qualcuno, da qualche parte, potrebbe importare se qualcun altro lo scarica. Ad esempio, ho scaricato un sacco di cose classificate come "strumenti di hacking" perché il mio lavoro richiede l'uso di tali cose. Alcuni governi si oppongono alle persone che scaricano tali strumenti. TLS non renderà impossibile dire che ho visitato il sito - userei Tor, o qualcosa del genere, per questo - ma potrebbe darmi una plausibile negazione su ciò che ho scaricato dal sito.
L'integrità è molto più importante. Mentre molte persone non si rendono conto di ciò, la crittografia di per sé non fornisce integrità. Se c'è un aggressore man-in-the-middle tra me (il cliente) e te (il server che offre download), l'attaccante può modificare il contenuto dei miei download. A seconda dei cifrari utilizzati, ciò potrebbe potenzialmente accadere anche se il server è autenticato (il MitM non interferisce con l'handshake TLS, ma continua a guardare tutto) e il traffico di rete è crittografato (l'utente malintenzionato può capovolgere i bit nel testo cifrato, specialmente se stai usando un cifrario di flusso o un cifrario a blocchi in modalità contraria, e decifri il download per essere qualcosa di diverso da ciò che il server ha inviato). Questo potrebbe, ad esempio, essere utilizzato per iniettare malware nei tuoi download.
Puoi provare a fornire integrità senza utilizzare TLS, visualizzando la crittografia che digita (ad esempio, sha256sum) dei tuoi file. In teoria, se l'hash dei file del server corrisponde all'hash dei file del client, i file non sono stati manomessi. In pratica, se non si utilizza TLS, il client non ha modo di sapere qual è l'hash dei file del server! L'attaccante può modificare i digest allo stesso modo in cui possono modificare i download stessi, quindi quando ho cancellato il mio download e vedo che l'hash corrisponde, tutto ciò che mi dice è che il download corrisponde a ciò che l'hacker voleva che vedessi. (Inoltre, il controllo manuale degli hash richiede che l'utente si preoccupi di farlo, mentre TLS esegue tutti i controlli di integrità automaticamente e in modo trasparente, non dovrai mai fare nulla o addirittura vederlo accadere a meno che qualcosa non manchi i dati.)