Доброго ранку, колеги.

Одна канторка робить нам аудит (готує до SOC)
І викотила одним із зауважень отаке:

Site does not enforce HTTPS (-8,1 score impact)

Recommendation
Any site served to a user (possibly at the end of a redirect chain) should be served over HTTPS.
(list of web-servers omitted)

То питання.
Я ніде не знайшов явних вимог що взагалі слід відмовитися від використання http --> https redirects.
Всеодно вся інформація від сервера повертається через https.

То чому ставиться така вимога (прибрати взагалі саму можливість обслуговування сервером клієнтських http requests)?

Наскільки логічна така вимога аудиторів?
(Ще й немалий бал знімають за це...)

Додам ще, що усі такі web-servers зі списку характеризуються однією спільною ознакою:

1. Вони дійсно обслуговують запит по http, наприклад, http://webserver.example.com
2. Але відразу редіректять цей запит на щось типу https://webserver.example.com/account/default/login-form. І далі вже працюють виключно через https.


Наперед дякую за пояснення.