http
supporta la crittografia senza https
, simile a STARTTLS
in smtp
?
Potrebbe sembrare una domanda stupida, ma pensaci.
Le banche richiedono una crittografia strong e non possono fare affari senza di essa.
Tuttavia, i normali siti web potrebbero non necessariamente farlo, ma trarrebbero comunque vantaggio dalla crittografia casuale, evitando molti tipi di attacchi, proprio come avviene con STARTTLS
in smtp
.
Pertanto, per un normale sito Web, se il browser ha problemi con ssl (che si tratti di incompatibilità del protocollo, dispositivo mobile sottodimensionato o preferenza esplicita dell'utente), dovrebbe procedere in modo sicuro senza crittografia senza troppi problemi extra.
Esiste un'estensione del protocollo HTTP
che consentirebbe la crittografia senza l'uso esplicito di https
? Per esempio. qualcosa di simile Accept-Encoding: gzip
e Content-Encoding: gzip
? O STARTTLS
in smtp
? Se no, perché no? Viene in mente persino WPA2 di WiFi, che fa la crittografia, ma non si preoccupa dei certificati o delle autorità di certificazione.
Fondamentalmente, sto pensando a qualcosa come l'estensione HTTPS-Everywhere, ma che funziona automaticamente senza la propaganda virale dello schema di indirizzi https://
- senza forzare le persone che non vogliono farne parte essere parte di esso, come fa lo schema di indirizzi https://
, senza dividere lo schema dell'indirizzo e senza richiedere al provider di contenuti di impegnarsi a supportare sempre https://
da esso.