<div><span style="color: rgb(160, 160, 168); ">On Tuesday, February 19, 2013 at 8:35 AM, Giovanni Bajo wrote:</span></div><blockquote type="cite" style="border-left-style:solid;border-width:1px;margin-left:0px;padding-left:10px;">
                    <span><div><div><meta http-equiv="Content-Type" content="text/html charset=us-ascii"><div><div>We have two different kind of users:</div><div>1) Browsers</div><div>2) Tools</div><div><br></div><div>For browsers, yes, redirect would be useful. For tools, not so much (in fact, it can give false security feeling).  This is also why I was proposing to apply for Chromium and Mozilla whitelists once HSTS is properly deployed (max-age > 6 months is needed to apply).</div><div><br></div><div>I would be OK with redirecting for browsers (matching the user agent for instance), but I would try to disable for tools as much as possible. </div></div></div></div></span></blockquote><div>The redirect only occurs on GET/HEAD, either the tools are using POST and won't be affected,</div><div>or they're using GET and the stdlib should handle the redirect automatically. Even without verification</div><div>of a SSL cert you still get some protection from passive attacks.</div><div><br></div><div>I also reject the idea that it will give a false security feeling as most people won't</div><div>even realize they are being redirected to SSL in a tool.</div>