Názor ke zprávičce Chrome bude nejdříve doplňovat před adresu HTTPS od Lukáš Turek - Já už delší dobu používám ve Firefoxu rozšíření...

Já už delší dobu používám ve Firefoxu rozšíření HTTPS by default, které dělá víceméně to samé jako plánuje Chrome, a narážel jsem na weby, které byly na HTTPS rozbité jinak než špatným certifikátem. Některé části obsahu se nenačetly kvůli mixed content (nejspíš se skripty načítaly z domény bez HTTPS). Teprve poslední rok, nejvýš dva je jich už jen minimum.

Jenže pokud ten fallback na HTTP bude automatický (bez potvrzení uživatelem), tak to stejně z hlediska bezpečnosti nic neřeší, MitM útočníkovi stačí zablokovat HTTPS a výsledek je jako dřív. Je potřeba, aby prohlížeč u webu bez HTTPS zobrazil stejné varování jako v případě špatného certifikátu, které uživatel musí potvrdit, aby se dostal dál.