<div class="gmail_quote">On Fri, Oct 28, 2011 at 12:21 PM, Kevin Reid <span dir="ltr"><<a href="mailto:kpreid@switchb.org">kpreid@switchb.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">
<div class="im">I don't know what the browser vendors are thinking, but I can make some stuff up.</div></blockquote><div><br></div><div>That's always my approach when I don't know the answer :-)</div><div> </div>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">Argument #1:<br>
<br>
  Premise 1: "https:" means it's secure, to the user.<br>
<br>
  Premise 2: HTTPS security rests on the CAs providing certificates<br>
             for DNS names.<br>
<br>
  Conclusion: If a certificate is not signed-by-a-CA-etc. then the user<br>
              thinks they are secure but aren't; therefore warn them.<br>
<br>
Not showing indicators of security to the user solves this problem, but if you hide "https:" then you're not accurately displaying the URL...<br></blockquote><div><br></div><div>I don't think "accurately displaying the URL" is important.  In the last few years browsers have started altering displayed URLs in all sorts of ways, including dropping the protocol prefix entirely in many cases.  I just checked and neither Firefox nor Google Chrome display http://.  Further, while Chrome does display https:// on SSL-enabled sites (and highlight it in green), FF doesn't display https:// either.</div>
<div><br></div><div>Displaying the URL accurately isn't relevant to 95% (99%?) of users of the web.  The remainder can always figure out what they need to.</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">

Argument #2:<br>
<br>
  If the author of a *link* wrote "https:" then they expect that link<br>
  to securely designate the intended target; if there is a certificate<br>
  problem then the link is not succeeding at that job and proceeding<br>
  despite that would be a vulnerability.</blockquote><div><br></div><div>Among all the ways a misconfigured web server could cause problems, I think this is pretty low on the list.</div><div> </div></div>-- <br>Shawn<br>