Das Internet ist grundsätzlich zum Informationsaustausch gedacht. Wenn jetzt der Browser auf einer OCSP-Abfrage besteht und mir keine Möglichkeit lässt bei Erreichbarkeitsproblemen dennoch auf die Seite zuzugreifen, sieht es bei Zwangs-HTTPS echt schlimm aus diese ureigenste Funktion des Internet zu nutzen. Ging mir erst vor Kurzem so, dass eine Seite von sich aus immer auf die HTTPS-Variante umgeleitet hat, aber es dann keine gemeinsamen Ciphers gab. -.-°
Macht HTTPS eigentlich irgendetwas, um die Größe der angefragten Daten zu verschleiern? Ansonsten würde ich als großer Geheimdienst einfach schauen welche Seiten wie groß sind und anhand der Größensignatur wüsste ich dann, welche Seite sich jemand gerade anschaut. Bei Wikipedia dank der vielen internen Verlinkungen auch relativ leicht machbar. Da die IPs nicht verschleiert werden, wäre eine Zuordnung von IP zu Seite auch relativ leicht machbar.
Geht hier zwar nur um die DENIC-Seiten, aber das sind ja grundsätzliche Probleme, die nicht nur deren Seiten betreffen (können). Dass Zertifikate für den Durchschnittsuser ohnehin absolut undurchsichtig sind und nicht mal der durchschnittliche Nerd sagen kann, ob ein Zertifikat wirklich vertrauenswürdig ist, habe ich dabei noch gar nicht eingerechnet und sollte zu denken geben.