Názor k článku Postřehy z bezpečnosti: všechny prohlížeče opět pokořeny od Vít Šesták - „Prohlížeč často neví, co je „na začátku“, protože...

„Prohlížeč často neví, co je „na začátku“, protože uživatel zadává adresu bez protokolu.“

To je sice pravda, ale o tomto IMHO spor není. Myslím, že jsme se shodli, že:
1. Pokud zadám adresu bez „https://“, pak prohlížeč má zkusit HTTP, ledaže by měl odněkud (HSTS, HSTS preload list, případně DANE) jinou informaci.
2. Pokud zadám adresu s „https://“, pak prohlížeč má rovnou zkusit HTTPS, protože jsem to po něm chtěl.

Psal jsem o situaci, kdy člověk klikne na odkaz. Potom prohlížeč ví, jaký se má použít protokol, protože je to (v případě relativní cesty implicitně) uvedeno v tom odkazu.

„neplatí, že odkaz s https znamená požadavek na zabezpečené spojení“ — A co jiného by to znamenalo?

„[HTTP/2] napravuje chybu, že šifrovaná verze existovala jako samostatný protokol, takže nyní může být i komunikace protokolem http zabezpečená.“
Cool, co to ale pro tuto diskuzi znamená?