Souhlasím s tím, že tahle změna měla přijít mnohem dřív. HSTS funguje jenom při druhé a další návštěvě, kdy prohlížeč zároveň už může pracovat s historií. Díra je právě v té první návštěvě, což je zároveň jediný případ, kdy prohlížeč musí u ručně napsané adresy „tipnout“ HTTP nebo HTTPS. A Chrome prostě dost dlouho používal nebezpečný default, a to zbytečně – aby se ušetřily dvě tři vteřiny u webů, které neřešily bezpečnost. Rok 2015 byl asi na tuhle změnu opravdu brzo, ale třeba v roce 2016 nebo 2017 už na to byl čas. Je prostě divné, když prohlížeč na jednu tlačí na používání HTTPS, a na druhou stranu volí HTTP, když je volba na něm.
Problém první návštěvy (TOFU) se řeší pomocí HSTS preloadu. Doména Root.cz v něm třeba je, stejně jako například Alza.cz. Na tyhle domény nikdy nepřijdeš po HTTP, ani s čistou instalací prohlížeče.
Já bych byl osobně taky trochu rychlejší, ale zase je chápu. Jsou konzervativní, protože každá tahle změna vyvolá mezi uživateli hysterii. Stačí si přečíst diskuse před pár lety tady na Rootu. Počkali tedy do doby, kdy se skutečně 90 % webů načítá po HTTPS a nemělo by to nikoho zaskočit.
HSTS preload je šílenost a nejsem schopen ho považovat za řešení nějakého problému. Pořád se řeší, aby internet dobře škáloval, aby v DNS nebylo úzké hrdlo, někdo má problém s tím, že unikají názvy domén skrze certificate transparency – a pak přijdeme s tím, že adresy všech webů (což je dnes zdaleka nejdůležitější služba na internetu) nacpeme do jednoho textového souboru.
Konzervativní přístup chápu v situaci, kdy změna může něco rozbít. Ale tady změna spočívá v tom, že dříve byly čekáním na přesměrování penalizováni ti, kteří měli web server nastaven dobře (s HTTPS), nyní budou penalizováni (trochu delším) čekáním na timeout ti, kteří mají server nastavený špatně. Rozbít to může jedině případy, kdy někdo má správně nakonfigurovaný HTTPS server, ale nemá na něm správný obsah – a ten bude mít problémy i bez téhle změny.
Já už delší dobu používám ve Firefoxu rozšíření HTTPS by default, které dělá víceméně to samé jako plánuje Chrome, a narážel jsem na weby, které byly na HTTPS rozbité jinak než špatným certifikátem. Některé části obsahu se nenačetly kvůli mixed content (nejspíš se skripty načítaly z domény bez HTTPS). Teprve poslední rok, nejvýš dva je jich už jen minimum.
Jenže pokud ten fallback na HTTP bude automatický (bez potvrzení uživatelem), tak to stejně z hlediska bezpečnosti nic neřeší, MitM útočníkovi stačí zablokovat HTTPS a výsledek je jako dřív. Je potřeba, aby prohlížeč u webu bez HTTPS zobrazil stejné varování jako v případě špatného certifikátu, které uživatel musí potvrdit, aby se dostal dál.