Il server reindirizza alla versione https ma il client manda una richiesta http (in chiaro).
Anche se fosse il “comportamento desiderato”, non è un comportamento corretto (specialmente senza HSTS)
Il client invia solamente richieste GET in chiaro. Il server risponde con un redirect. Il client manda un GET in cifrato, il server risponde in cifrato.
L’intera discussione si basa sul fatto che se la richiesta è fatta in http c’è il rischio di MITM.
In quel caso
non è vero, perchè l’attacker potrebbe decidere di non mandare il redirect/301 al client, ma sostituirlo con una versione http della pagina. È un attacco ormai conosciuto da anni che non ha fatto altro che sottolineare i problemi di utilizzare i redirect come soluzione.
Sono lieto di informarti che adesso ForgottenWorld supporta HSTS su tutti i suoi domini. Ti ringrazio ancora per i tuoi suggerimenti, suggerimenti che hanno permesso a ForgottenWorld di essere al passo con i tempi e sempre aggiornati in termini di sicurezza.
Riporto di seguito i risultati di forum.forgottenworld.it ottenuti con Qualys SSL Labs: