La mia comprensione è che HTTPS Everywhere reindirizza i siti Web a una versione https: // se li supportano.
La mia domanda è, se i siti web hanno una versione https: // supportata perché non li stanno utilizzando in primo luogo?
Supponiamo che tu stia utilizzando un browser molto vecchio che non può connettersi al server utilizzando TLS, perché il server non supporta le vecchie versioni TLS e / o suite di crittografia TLS deprecate supportate dal browser. Ad esempio, IE6 in WinXP supporta al meglio SSLv3 + 3DES, e IE8 su WinXP supporta al meglio TLS 1.0 + 3DES. SSLv3 non è sicuro perché il padding CBC non è deterministico e non è coperto dal MAC [1] e 3DES non è molto sicuro (insicuro?) Perché la sua dimensione di blocco è di 64 bit [2]. Molti server non supportano alcuna versione TLS e ciphersuite che consentano la connessione di Internet Explorer su Windows XP (con tutte le patch applicate), ad esempio per scaricare almeno un browser più recente.
Se sei su un browser di questo tipo e il sito web ha implementato un reindirizzamento obbligatorio dagli URL http a https, verrai SOL.
Un altro motivo è che alcuni siti hanno l'impressione erronea, anacronistica, che la crittografia è dispendiosa dal punto di vista computazionale e le prestazioni del loro server sarebbero gravemente degradate spendendo cicli CPU su cripto, e quindi usano TLS "quando necessario" (pagina di accesso, pagina di pagamento) e non utilizzare TLS "quando non è necessario" (sfogliando il catalogo prodotti), per "migliorare le prestazioni del sito".
Alcuni siti sono stati costruiti e distribuiti qualche tempo fa e non sono stati aggiornati in pochi anni. A quel tempo, le persone erano meno consapevoli della situazione di sorveglianza totale e della questione dell'autenticità e dell'integrità dei dati. Fondamentalmente pensavano che se la riservatezza non è importante, TLS non è necessario, e quindi le persone cattive possono iniettare javascript cattivo in siti e virus in eseguibili mentre vengono scaricati, con impunità.
1 - link
2 - link
Parte del motivo per utilizzare il componente aggiuntivo HTTPS Everywhere è che i siti che supportano https per impostazione predefinita possono ancora accettare http connessioni e immediatamente reindirizzare l'utente a https sito (una ragione per farlo è che i vecchi collegamenti continuino a funzionare, più o meno in modo trasparente). Se invii informazioni sensibili nascoste da https , ad esempio un cookie o un URL, tali informazioni verranno esposte quando effettui la prima connessione su http . Pertanto, l'estensione HTTPS Everywhere può proteggerti da perdite accidentali di informazioni quando fai clic su vecchi segnalibri o link alla versione http di un sito.
Probabilmente per motivi di rendimento legacy e per consentire una più facile integrazione con fornitori di terze parti (ad esempio reti pubblicitarie).
Questo sito carica da Google semplicemente HTTP come predefinito. Tuttavia, se esegui HTTPS ovunque, può caricarsi completamente su HTTPS.
Alcuni siti hanno solo determinate aree di carico su HTTPS per impostazione predefinita (ad esempio processo di checkout). HTTPS Everywhere forzerà il resto del sito a caricare anche su HTTPS, offrendo una maggiore sicurezza, ma potrebbero esserci avvisi di contenuti misti.
Leggi altre domande sui tag web-browser tls browser-extensions