Vlákno názorů k článku První krok: Chrome začal upozorňovat na weby bez HTTPS od Michal Pastrňák - Tak jsem to celé přečetl a trochu bych...

Tak jsem to celé přečetl a trochu bych objasnil některé nesmysly, které se tu objevily.
HTTPS nezabrání pasivnímu útočníkovi v zjištění, na které stránky koukám, protože tuto informaci získá z odchycených z DNS dotazů. Sice nemusí zjistit, kterou stránku si kdo prohlíží konkrétně, ale v případě jednoduchého prezentačního webu je to jedno.
HTTPS na jakémkoliv prezentačním webu není úplná zbytečnost, zabrání v pozměnění přenášených dat (pokud ovšem někdo nepřistupuje na http a nespoléhá se na přesměrování na https). Tímto útokem může být postižen jak provozovatel webu, tak potenciální zákazník, případně skautík - změnou údajů může být například poškozena pověst firmy, potenciální zákazník se na firmu vykašle, může dojít ke změně platebních údajů, na skautský webík může někdo přilepit "prosím zašlete mimořádný příspěvek na výlet 100Kč na účet..." možností je spousta. Míra rizika je sice v některých případech malá, ale script kiddies vládnou internetu a z "hacknutí" čehokoliv můžou mít radost.
Nicméně si nemyslím, že nějaké barevné rámečky něco změní, je spousta neudržovaných webů, na které nikdo https nepřidá a přesto mají relativně slušnou návštěvnost a mají zajímavý obsah (typicky nějaké tutoriály, kterým se autor přestal věnovat). Snaha Googlu prosadit šifrování je sice chvályhodná, ale ne obtěžováním uživatelů, je potřeba to vtlouct do hlavy poskytovatelům obsahu - například nešifrované stránky postupně víc a víc znevýhodňovat ve vyhledávání, postupně dojít do stavu, kdy veškeré výsledky budou standardně https a k http se člověk dostane pouze přes varovný odkaz někde dole... To by myslím byl mnohem funkčnější přístup a k samotnému upozorňování na http prohlížečem bych přikročil až za pár let.

Já bych objasnil nesmysly v objasňování nesmyslů.
Z odchycených DNS dotazů nezíská pasivní útočník seznam webových stránek, na které se koukám. Pokud poslouchá někde mezi mým počítačem a DNS resolverem (a nepoužívá se šifrování), získá tak seznam názvů, které potřeboval můj počítač přeložit DNS resolverem – který se s tím seznamem prohlížených webů do určité míry překrývá. Budou tam navíc adresy překládané jinými programy, chybět tam budou adresy, které má počítač nakešované nebo je překládá třeba přes hosts soubor.
Ve skutečnosti ale pasivní útočník zjistí, na které weby koukám, ze SNI hlavičky, kterou posílá každý moderní prohlížeč.

Jinak Google postupuje podle toho vašeho návodu, přesvědčuje především poskytovatele, ale těch vašich „pár let“ už nějakou dobu běží, takže teď došlo na krok, kdy je uživateli zobrazena informace o tom, že používá nezabezpečené spojení. Přičemž zatím je to jen velmi decentní íčko v kroužku na místě, kde se jinak zobrazují ikony oznamující stav HTTPS spojení.

Ano, vzal jsem to dost zjednodušeně, ale na principu to nic nemění. Stejně se ze sni nemusím dozvědět nic, protože někdo může používat prehistorický prohlížeč, taky může být připojený VPNkou někam do firmy a opět se nedozvím nic, musel bych poslouchat zároveň provoz té firmy a odhadovat, co patří konkrétnímu uživateli, opět by mi v tom dělal bordel cachovaný obsah, možná firemní proxy, cokoliv, ale to je celkem jedno.
Ano, že google zvýhodňuje https ve vyhledávání se už říká dlouho, ale není to zase tak horké a čekal bych, že půjde ještě chvíli tímto směrem. Případně by asi stačilo, kdyby udělal bububu a řekl, že http za měsíc z vyhledávání vyhodí a skryje pod červené tlačítko "nebezpečné weby", po jehož stisku se objeví obrovská červená stránka plná blikajících vykřičníků a varování a někde mezi tím se budou povalovat téměř nečitelné růžové odkazy na http stránky.
To by myslím přesvědčilo velkou část web adminů, aby to začali konečně řešit.

Já jsem napsal: Ve skutečnosti ale pasivní útočník zjistí, na které weby koukám, ze SNI hlavičky, kterou posílá každý moderní prohlížeč.

j následně vyzvracelo: Natoz aby mel aspon paru o tom, ze kazdej "moderni" browser bude posilat SNI, coz je prekvapive ... NESIFROVANA hlavicka s webem, na kterej leze. Divny co jirsak? Novinka zejo? Opet zvanis o vecech o kterych viz howno ze?

Souhlasím s tím, že jeden z nás dvou je negramotnej. Mimochodem, všimněte si, že ty vaše nadávky prodlužují váš text na pětinásobnou délku – to, co já jsem napsal osmi slovy, vy jste „obohatilo“ o nadávky, čímž se text prodloužil na 38 slov (39, kdybyste ovládalo pravopis).

Jako že to běží na nějakým hostingu, o kterej se někdo stará a servery udržuje, ale obsah tam leží jen tak a těžko nějaký hosting (zatím) zapne z vlastní vůle https. Pokud se obsah válí na takovém hostingu dokonce na vlastní doméně, pak je ještě menší šance, že do toho bude provozovatel šťourat a za někoho řešit certifikáty pro cizí domény.