EDICIóN GENERAL

Uno de cada tres ministerios tiene una página web que "no es segura"

#28 pero es que si no va por http desde un principio ya tienes el riesgo metido. Tú dices que solo pase a https cuando se solicita info sensible... ¿Y si un atacante modifica la parte no sensible para solicitar en ella esa información sensible? ¿Si hace que al pulsar en un enlace que te llevaría a https te lleve a una réplica sobre http y captura tus datos? Para que una web sea segura toda la navegación desde el principio debería ir por https.

Creo que #26 también lo ha explicado muy bien
#72 ¿Si hace que al pulsar en un enlace que te llevaría a https te lleve a una réplica sobre http

No, en cualquier caso donde vayas a enviar algo deberíamos exigir https. Una práctica interesante podría ser que los navegadores para poder solicitar datos al usuario (páginas que contengan inputs por ejemplo), sólo se acepte https.

menéame