<div dir="ltr"><div class="gmail_default" style="font-family:georgia,serif;font-size:small">Not to argue against adding a ruleset, but the domain is in the HSTS-list¹, so the browser will not try to connect to it insecurely.</div><div class="gmail_default" style="font-family:georgia,serif;font-size:small"><br></div><div class="gmail_default" style="font-family:georgia,serif;font-size:small">¹ <a href="https://chromium.googlesource.com/chromium/src/net/+/master/http/transport_security_state_static.json">https://chromium.googlesource.com/chromium/src/net/+/master/http/transport_security_state_static.json</a></div><div class="gmail_default" style="font-family:georgia,serif;font-size:small"><br></div><div class="gmail_default" style="font-family:georgia,serif;font-size:small">Kind regards,</div><div class="gmail_default" style="font-family:georgia,serif;font-size:small">Joakim</div></div><div class="gmail_extra"><br><div class="gmail_quote">2015-02-05 16:54 GMT+01:00 Daniel Kahn Gillmor <span dir="ltr"><<a href="mailto:dkg@fifthhorseman.net" target="_blank">dkg@fifthhorseman.net</a>></span>:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On Thu 2015-02-05 05:12:50 -0500, Alexander Buchner wrote:<br>
> On 06.11.2014 13:27, Steven Tress wrote:<br>
</span><span class="">>> I've just converted my site to HTTPS. Attached is the ruleset for the<br>
>> site, suggested to be included in the built in repository.<br>
><br>
</span><span class="">> Since your site also supports HSTS there is no need for an extra<br>
> httpsE-rule.<br>
<br>
</span>Alexander, I don't think that's the right analysis.  Having an<br>
httpsE-rule avoids an sslstrip attack for people in their first time<br>
visiting, which HSTS does not defend against.<br>
<br>
If i type "<a href="http://steventress.com" target="_blank">steventress.com</a>" into my browser right now (having never<br>
visited it before), my browser will try <a href="http://steventress.com/" target="_blank">http://steventress.com/</a>.<br>
<br>
A network-based attacker can simply pretend to be that server (even<br>
proxying the content from the https site so it looks the same).  All my<br>
communications will remain in the clear.<br>
<br>
having an httpsE-rule means that as long as i have the extension<br>
installed, i'll never get the cleartext site, even if i've never visited<br>
it before.<br>
<span class="HOEnZb"><font color="#888888"><br>
           --dkg<br>
</font></span></blockquote></div><br></div>