من وب سایتی دارم که باید از طریق HTTP و HTTPS در دسترس باشد ، اما من فقط می خواهم مردم اگر واقعاً نیاز دارند از HTTP استفاده کنند. ایده من این است که تغییر مسیر را به HTTPS ، همراه با HSTS ، در mydomain.com ، و ارائه HTTP ساده در http.mydomain.com . من از موتورهای جستجو می خواهم که زیر دامنه http خود را تبلیغ نکنند ، فقط باید از طریق دستورالعمل های خود سایت من پیدا شود. این امر باعث می شود تا کاربران از HTTP به طور تصادفی استفاده نکنند و همچنین انتخاب را کاملاً صریح نشان دهند.

سؤال من این است که با این رویکرد چه نوع حملات خودم را باز می کنم. حملات فیشینگ اجتناب ناپذیر به نظر می رسد. یک مهاجم همیشه ممکن است یک قربانی را فریب دهد تا از دامنه ناامن استفاده کند و امیدوار است که متوجه نشود. من می توانم در سایت http خود یک نشانگر هشدار دائم نشان دهم ، اما این امر تنها درصورتی می تواند کمک کند که مهاجم نتواند بسته های پرواز را تغییر دهد. نگرانی دوم ، کلاهبرداری DNS است ، جایی که یک مهاجم mydomain.com به http.mydomain.com ، یا امتیاز http.mydomain.com را به سرورهای خود نشان می دهد. . با این حال ، تعداد بیشتری مشتری بیشتر DNSSEC را تأیید می کنند ، وب سایت من DNSSEC را فعال کرده است ، بنابراین من امیدوارم که بردار حمله همچنان در حال کوچک شدن باشد. آیا رویکرد بهتری نسبت به آنچه من سعی می کنم انجام دهم وجود دارد؟