HTPS es el nuevo HTTPS. HTTPS es altamente vulnerable a SSL Stripping/MITM (hombre en el medio). para citar (Google) Blog de violeta imperial Adam Langley: "HTTPS tiende a hacer que las personas dan charlas burlarse de seguridad certificado y el ecosistema a su alrededor"
El problema es que la página no se sirve a través de HTTPS. Debería haber sido así, pero cuando un usuario escribe un nombre de host en un navegador, el esquema predeterminado es HTTP. El servidor puede intentar redirigir a los usuarios a HTTPS, pero esa redirección es insegura: un atacante de MITM puede reescribirla y mantener al usuario en HTTP, simulando el sitio real todo el tiempo. El atacante ahora puede interceptar todo el tráfico a este sitio web perfectamente configurado y seguro.
Esto se conoce como eliminación de SSL y es terriblemente simple y devastadoramente efectivo. Probablemente no lo veamos con frecuencia porque no es algo que los poderes corporativos deban hacer, por lo que no está en dispositivos estándar. Pero es poco probable que ese respiro dure mucho tiempo y quizás ya haya terminado: ¿cómo sabríamos siquiera si se estaba utilizando?
Para detener la eliminación de SSL, debemos hacer que HTTPS sea el único protocolo. No podemos hacer eso para todo Internet, pero podemos hacerlo sitio por sitio con HTTP Strict Transport Security (HSTS).
HSTS le dice a los navegadores que siempre realicen solicitudes a través de HTTPS a los sitios de HSTS. Los sitios se convierten en HSTS ya sea al estar integrados en el navegador o al anunciar un encabezado:
Seguridad de transporte estricta: max-age = 8640000; includeSubDomains
El encabezado está en vigor durante el número de segundos especificado y también puede aplicarse a todos los subdominios.El encabezado se debe recibir a través de una conexión HTTPS limpia.
Una vez que el navegador sabe que un sitio es solo HTTPS, el usuario que escribe mail.google.com está seguro: la solicitud inicial usa HTTPS y no hay ningún agujero que un atacante pueda explotar.
(mail.google.com y un número de otros sitios ya están integrados en Chrome como sitios de HSTS, por lo que no es posible acceder a accounts.google.com a través de HTTP con Chrome, ¡tuve que manipular esa imagen! desea ser incluido en la lista incorporada de HSTS de Chrome, envíeme un correo electrónico).
HSTS también puede protegerlo, el webmaster, de cometer errores tontos. Supongamos que le ha dicho a su madre que siempre debe escribir https: // antes de ir a su sitio bancario o tal vez configurar un marcador para ella. Honestamente, es más de lo que podemos o deberíamos esperar de nuestros usuarios. Pero digamos que nuestro usuario supererogatorio ...]
debido a reglas de enlace obstructivas/muy estúpidas para los nuevos usuarios en stackoverflow no puedo darle el resto de la respuesta de Adam y tendrá que visitar el blog de Adam Langley usted mismo en https://www.imperialviolet.org/2012/07/19/hope9talk.html
"Adam Langley funciona tanto en la infraestructura de servicio HTTPS de Google como en la pila de red de Google Chrome".
Supongamos que ya hay una aplicación web ejecutándose en el puerto SSL (https). ¿Por qué querrías tener un Certificado para esta aplicación web? – user32262