I haven’t read all the details of STS but my understanding is that, at a given point in time and on a given domain, it is either enabled or disabled on the entire domain and, if it is enabled, the browser rewrites <a href="http://domain/">http://domain/</a>… requests by changing http to https. However, STS does not support any other rewriting.<br>
<br>Therefore, if STS is disabled on <a href="http://secure.eff.org">secure.eff.org</a>, then that domain is open to all the problems of not using HTTPS at all; if it is enabled, then <a href="http://secure.eff.org/wiretapping">http://secure.eff.org/wiretapping</a> (for example) will be rewritten to <a href="https://secure.eff.org/wiretapping">https://secure.eff.org/wiretapping</a> and fail (except for users using HTTPS Everywhere or some other rewriting software!).<br>
<br>The other changes to rulesets are, in some cases, “micro-optimisations”; in other cases, they avoid certificate errors. Avoiding certificate errors seems like something we should pursue more actively, at least by adding a note to the ruleset-writing instructions and any other appropriate place.<br>
<br>I don’t really understand the process for submitting patches, not knowing anything about GitHub except what’s given on the HTTPS Everywhere site.<br><br><div class="gmail_quote">On Thu, Dec 30, 2010 at 0535 (UTC-8),  <span dir="ltr"><<a href="mailto:https-everywhere@lists.grepular.com">https-everywhere@lists.grepular.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">I'm aware of how STS works but I don't understand what you think is a<br>
problem here. Can you explain in more detail?<br>
<br>
The other changes to rulesets that you've mentioned so far strike me to<br>
be micro-optimisations. I suspect that if you submit patches they'll be<br>
accepted; the people running this project seem quite keen to accept<br>
new/modified rulesets. *most* of the existing rulesets can probably be<br>
optimised in one way or another.<br>
<br>
Mike<br>
<div class="im"><br>
On 29/12/2010 0720 (UTC-8), Drake, Brian wrote:<br>
> In fact, if they failed to do this, wouldn’t it create a problem with<br>
> STS (Strict Transport Security), which I understood the EFF to have<br>
> implemented on all their systems that support it?<br>
><br>
> On Wed, Dec 29, 2010 at 0452 (UTC-8), Drake, Brian<br>
</div><div class="im">> <<a href="mailto:brian2@drakefamily.tk">brian2@drakefamily.tk</a> <mailto:<a href="mailto:brian2@drakefamily.tk">brian2@drakefamily.tk</a>>> wrote:<br>
><br>
>     Then, as I originally asked, why doesn’t the EFF reprogram their<br>
>     servers so that<br>
><br>
><br>
>     <a href="https://secure.eff.org/wiretapping" target="_blank">https://secure.eff.org/wiretapping</a><br>
><br>
>     and similar URLs return a redirect to whatever their preferred<br>
>     address is instead of a 404 error?<br>
><br>
>     On Wed, Dec 29, 2010 at 0304 (UTC-8),<br>
>     <<a href="mailto:https-everywhere@lists.grepular.com">https-everywhere@lists.grepular.com</a><br>
</div><div class="im">>     <mailto:<a href="mailto:https-everywhere@lists.grepular.com">https-everywhere@lists.grepular.com</a>>> wrote:<br>
><br>
>         [snip]<br>
><br>
><br>
>     --<br>
>     Brian Drake<br>
>     [snip]<br>
>     All content created by me Copyright © 2010 Brian Drake. All rights<br>
>     reserved.<br>
><br>
><br>
> --<br>
> Brian Drake [snip]<br>
> All content created by me Copyright © 2010 Brian Drake. All rights reserved.<br>
<br>
</div><div class="im">--<br>
Mike Cardwell [snip]<br></div><a href="https://mail1.eff.org/mailman/listinfo/https-everywhere" target="_blank"></a>
</blockquote></div><br>--<br>Brian Drake<br><br>Alternate (slightly less secure) e-mail: <a href="mailto:brian@drakefamily.tk" target="_blank">brian@drakefamily.tk</a><br>Alternate (old) e-mail: <a href="mailto:brianriab@gmail.com" target="_blank">brianriab@gmail.com</a><br>
<br>Facebook profile: <a href="https://ssl.facebook.com/profile.php?id=100001669405117" target="_blank">Profile ID 100001669405117</a><br>
Twitter username: <a href="https://twitter.com/BrianJDrake" target="_blank">BrianJDrake</a><br>Wikimedia project username: <a href="https://secure.wikimedia.org/wikipedia/meta/wiki/User:Brianjd" target="_blank">Brianjd</a> (been inactive for a while)<br>
<br>All content created by me Copyright © 2010 Brian Drake. All rights reserved.<br>