<div dir="ltr"><div><div>You are right, I was referring specifically to "One observation here is that a considerable<br>percentage of the rules no longer need to be included, as port 80<br>redirects to HTTPS anyway."<br><br></div>Best regards,<br></div>Maxim Nazarenko<br></div><div class="gmail_extra"><br><div class="gmail_quote">On 22 July 2015 at 00:01, Jacob Hoffman-Andrews <span dir="ltr"><<a href="mailto:jsha@eff.org" target="_blank">jsha@eff.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On 07/21/2015 05:30 AM, Maxim Nazarenko wrote:<br>
> Unsecure connections can be MITMed easily. If the site is not HSTS<br>
> preload list, the corresponding rule should stay.<br>
</span>It sounds like you are talking about sites that redirect from HTTP to<br>
HTTPS. I think Dave Warren is talking about something else: A site that<br>
forcibly redirects from HTTPS to HTTP. We can't include these in HTTPS<br>
Everywhere because the site would fail to load.<br>
</blockquote></div><br></div>