EDICIóN GENERAL

Uno de cada tres ministerios tiene una página web que "no es segura"

#14 ¿Que alguien podría suplantarla? Sí... ¿Y qué?
Nada. Tu vas a la página del Ministerio de Asuntos Exteriores, buscas la embajada de Londres y te bajas los tramites para hacer algo por correo ordinario.

www.exteriores.gob.es/Consulados/LONDRES/es/Consulado/Paginas/Localiza

Resulta que si alguien la ha suplantado y te ha colocado una dirección que no es la de la embajada, le estás enviando documentos importantes a vete tu a saber quien.
#21 Es normal y habitual que una web se presente por http y luego cuando se vaya a hacer alguna transacción o intercambio de datos sensibles transite a https.

Es una chapuza como un piano completamente innecesaria en el 99% de los casos (dudo que el sobrecoste computacional de cifrar la web sea un problema en 2019).

Y como apunto en #20, es inseguro, ya que esas webs tienen formularios y instrucciones para tramites por correo y no puede uno validar si la página es un fake.
#22 Dame una explicación técnica de por qué es una chapuza que una web, cuando no hay implicación alguna de datos sensibles, vaya por http. No repares en tecnicismos si quieres.
#23 ¿La dirección física de una embajada a la que le tengo que enviar documentos por correo te parece poco sensible?

¿Como puedo asegurarme que el contenido de esta página es auténtico?
www.exteriores.gob.es/Consulados/LONDRES/es/Consulado/Paginas/Localiza

No estamos hablando de un blog estático de fotos de gatos, estamos hablando de una web estática con información importante.

Y es que aunque estuviesemos hablando de un blog estático de fotos de gatos, en 2019 no hay ninguna puta excusa para no utilizar TLS, que es gratis joder.
#23 Una conexión http permite un ataque de man-in-the-middle, lo cual no sucede con https.
Ponle por ejemplo un punto wifi público que ha sido atacado, y un fulano que se conecta a la web del ministerio por ese wifi. Al ir el tráfico con esa web en claro, el atacante puede meter en las páginas servidas lo que le dé la gana. Puede meter por ejemplo un formulario, que en el original no existe, pidiendo ciertos datos o ciertos documentos que pueden llegar a ser críticos. El fulano no tiene absolutamente ninguna manera de saber que esa petición de datos o de documentos es ilegítima. No todo el mundo sabe que para intercambiar datos con un ministerio debe ir por la sede electrónica con https. Está buscando un trámite en una página oficial, y la página le dice que los envíe así, y el fulano lo hace.
Como ves, no hace falta que la web tenga absolutamente nada sensible para que http sea un verdadero peligro.
cc #14
#26 Claro, por eso decía que si no vas a mandar información secreta, no hace falta https.
#28 ¡Pero si usar https es gratis!
Como decía Joaquín Reyes en un monólogo:
- ¿Cómo desea los sillones cómodos o incómodos?
- ¿Cuánto cuestan?
- Igual
- Pues incómodos mismo
#28 pero es que si no va por http desde un principio ya tienes el riesgo metido. Tú dices que solo pase a https cuando se solicita info sensible... ¿Y si un atacante modifica la parte no sensible para solicitar en ella esa información sensible? ¿Si hace que al pulsar en un enlace que te llevaría a https te lleve a una réplica sobre http y captura tus datos? Para que una web sea segura toda la navegación desde el principio debería ir por https.

Creo que #26 también lo ha explicado muy bien
#72 ¿Si hace que al pulsar en un enlace que te llevaría a https te lleve a una réplica sobre http

No, en cualquier caso donde vayas a enviar algo deberíamos exigir https. Una práctica interesante podría ser que los navegadores para poder solicitar datos al usuario (páginas que contengan inputs por ejemplo), sólo se acepte https.

menéame