Последнее время конкретные корпорации продвигают повсеместное использование https и отказ от http, остальные повторяют эти базворды. Google Chromium показывает букву i в кружке в строчке браузера и пишет «небезопасно», если сайт открыт по http, а не https.
В https и его реализациях постоянно находят уязвимости: Heartbleed, POODLE и т. д. И есть полно указаний, что, возможно, американские спецслужбы знают о многих пока неопубликованных уязвимостях в https, а может быть даже, внедряют свои. Подчеркну: я в этом не уверен, я лишь обращаю внимание на то, что такое возможно. На это указывают утечки Сноудена, публикации в блоге Шнайера. Можно найти огромное количество упоминаний этого в интернете, покажу лишь одну ссылку: www.opennet.ru/opennews/art.shtml?num=37846
Владелец компьютера имеет полный доступ ко всем запущенным на нём программам: к виртуальному серверу и закрытым ключам, которые там хранятся.
Чтобы работала служба CDN ей необходимо иметь закрытый ключ для расшифровки трафика. Это значит, что там где есть CDN шифрования нет.
Нет нужды взламывать трубу, по которой течёт трафик. Большинство сайтов устанавливают скрипты в виде ссылок на сайты со скриптами, браузер их скачивает и исполняет. В этих скриптах может быть что угодно, например, захват всего пользовательского ввода и отправка на сервер злоумышленнику. Например, так можно получить номера банковских карт.
История знает достаточно случаев когда браузёры перестали доверять центрам выдачи сертификатов: StartSSL, WoSign, Symantec.
Потенциальный отказ центра сертификации в выдаче сертификата.
Самоподписанный сертификат не работает, некоторые браузёры даже не позволят открыть сайт с самоподписанным сертификатом.
У нас на работе во внутренней, не причастной к интернету сети, есть много web сервисов, и все вот эти вот предупреждения о небезопасности и невозможность сохранения паролей иногда здорово портят мне нервы, а пользователи задалбывают вопросами. Поэтому сейчас при установке firefox esr я в обязательном порядке правлю так же еще и целую кучу параметров из about:config.
Сейчас, чтобы создать страницу, мне не надо ничьего разрешения, кроме наличия самого интернета. Хоститься можно дома, а DNS-ов бесплатных полно. Для простейшей странички с полезными людям текстовыми архивами вполне достаточно.
Переход же на HTTPS — это уже интернет по паспорту. Ибо Ктото Гдетович должен будет этот сертификат, то есть «паспорт», мне выдать, чтобы страница работала. Да, сегодня выдача очень легка и проста (тот же LetsEncrypt). Но само введение этого обязательного элемента в процесс создания любой страницы — это закладка на будущее барьера произвольной высоты.
70% защищённых сайтов используют Лецен Крипт, это не только монополия, но и единая точка отказа всей всемирной паутины.
Когда в Российской Федерации создавали единую точку обмена трафиком, то весь рунет на уши встал. Аналогичная ситуация с Леценкрипт почему‐то устраивает всех.