OK, pošlu ten link někomu, kdo na té cílové doméně ještě nebyl, takže nemá HSTS záznam. (Nehledě na to, že HSTS dnes ještě není samozřejmost.) Dnes je to OK – pokud link dojde v pořádku, není jak provést downgrade. (A pokud někdo může ten link po cestě měnit, máme větší problém, ale někde jinde…) Pokud bychom ale povolili zmíněné insecure HTTPS, už to OK nebude. To je IMHO mnohem větší problém než chybová hláška u pár webů, které trvají na HTTPS, ale ani dnes nemají platný certifikát.
Ano, HSTS na vyžádání uživatele by bylo pěkné, ale neřeší to tento problém. Zabezpečenou cestou dostanu link s „https://“ na web, který ještě neznám, tak mi někdo udělá downgrade. A navíc: zkuste to lidi naučit používat.
HTTP/2 možná bude motivovat k přechodu na HTTPS. Spíš než DANE IMHO uspěje Let’s encrypt, aspoň v dohledné době. Větší nasazení HTTPS možná povede k HTTPS by default a varování u plain HTTP, ale to je hudba budoucnosti.