Semuanya tergantung pada kebutuhan keamanan Anda, pilihan pengguna, dan risiko penurunan peringkat secara implisit. Menonaktifkan cipher lama di sisi server sangat diperlukan karena browser akan dengan senang hati masuk ke cipher yang benar-benar mengerikan di sisi klien atas nama pengalaman / kenyamanan pengguna. Memastikan tidak ada satu pun dari Anda yang bergantung pada saluran yang aman untuk pengguna tidak dapat dijangkau dengan metode tidak aman, tentu saja, juga sangat baik.
Tidak mengizinkan saya untuk menurunkan versi secara eksplisit ke HTTP yang tidak aman ketika saya menganggap posting blog Anda tentang mengapa Anda lebih menyukai Python daripada Ruby (tidak mengatakan Anda melakukannya, hanya contoh umum) bukan sesuatu yang saya pedulikan para hantu atau masyarakat yang tahu Saya mengakses hanya menghalangi saya tanpa alasan yang baik, dengan asumsi bahwa HTTPS akan sepele bagi saya.
Ada, saat ini, sistem embedded yang tidak memiliki kemampuan untuk menggunakan TLS di luar kotak, atau yang terjebak pada implementasi lama (saya pikir itu sangat buruk karena hal ini terjadi, tetapi sebagai pengguna daya dari [insert embedded] perangkat di sini], saya terkadang tidak dapat mengubah ini).
Inilah eksperimen yang menyenangkan: coba unduh versi terbaru LibreSSL dari situs OpenBSD hulu melalui HTTPS dengan implementasi TLS / SSL yang cukup lama. Anda tidak akan bisa. Saya mencoba suatu hari di perangkat dengan build OpenSSL yang lebih tua dari 2012 atau lebih, karena saya ingin memutakhirkan sistem tertanam ini menjadi lebih aman, barang baru dari sumber - Saya tidak memiliki kemewahan paket prebuilt. Pesan kesalahan ketika saya mencoba tidak sepenuhnya intuitif, tetapi saya mengira itu karena OpenSSL saya yang lama tidak mendukung hal-hal yang benar.
Ini adalah salah satu contoh di mana langkah satu-satunya HTTPS dapat benar-benar merugikan orang: jika Anda tidak memiliki kemewahan paket pre-built baru-baru ini dan ingin memperbaiki sendiri masalah dengan membangun dari sumber, Anda dikunci. Untungnya, dalam kasus LibreSSL, Anda dapat kembali ke meminta HTTP secara eksplisit. Tentu, ini tidak akan menyelamatkan Anda dari penyerang yang sudah menulis ulang lalu lintas Anda, yang mampu mengganti paket sumber dengan versi yang disusupi dan menulis ulang semua checksum dalam badan HTTP yang menjelaskan paket yang tersedia untuk diunduh di halaman web yang Anda jelajahi, tetapi masih berguna dalam banyak hal. kasus yang lebih umum.
Sebagian besar dari kita bukan satu unduhan tanpa jaminan yang jauh dari dimiliki oleh APT (Advanced Persistent Thread: jargon keamanan untuk badan intelijen nasional dan ancaman dunia maya yang bersumber daya sangat baik lainnya). Kadang-kadang saya hanya ingin wget
beberapa dokumentasi teks biasa atau program kecil yang sumbernya saya dapat dengan cepat mengaudit (utilitas / skrip kecil saya sendiri di GitHub, misalnya) ke dalam kotak yang tidak mendukung cipher suite terbaru.
Secara pribadi, saya akan menanyakan ini: apakah konten Anda sedemikian rupa sehingga seseorang dapat secara sah memutuskan "Saya baik-baik saja dengan saya mengakses pengetahuan publik"? Apakah ada kemungkinan risiko nyata yang masuk akal bagi orang non-teknis tanpa sengaja menurunkan ke HTTP untuk konten Anda? Bobot persyaratan keamanan Anda, persyaratan privasi untuk pengguna Anda, dan risiko penurunan peringkat tersirat terhadap kemampuan pengguna yang memahami risiko membuat pilihan berdasarkan informasi per kasus untuk tidak aman. Sepenuhnya sah untuk mengatakan bahwa untuk situs Anda, tidak ada alasan bagus untuk tidak menerapkan HTTPS - tapi saya pikir adil untuk mengatakan bahwa masih ada kasus penggunaan yang bagus untuk HTTP biasa di luar sana.