W LE da się w HPKP, niemniej jest to niesamowicie udziwnione i raczej bym się w to nie bawil. Pytanie brzmi: po co wgl HPKP? W 90% przypadków IMO jest to typowa armata na muchę, a ryzyko zepsucia czegoś jest naprawdę duże.
Co do SSL for all: nie tylko HTTP/2.0 wymaga SSL. Połowa ciekawszych APIs w HTML5 tego wymaga, czego najlepszym przykładem jest Service Worker. Ba, dostęp do kamerki i mikrofonu też już jest SSL only, Chrome ostatnio nawet geolokalizację przesunął za SSL – a zgodnie z ich polityką każde "powerful features" zostanie tam przesunięte (zresztą
W3C to popiera). Prawda jest taka, że jeśli chce się robić
współczesne aplikacje webowe, to bez SSL-a nie da się już niemal nic.
Pomijam już fakt, że Chrome dev po wykryciu
form > [type=password] na stronie bez SSL rzuca ostrzeżenie przy wypełnianiu takiego formularza (przykładem choćby to forum), a w przyszłości ma w ogóle taką możliwość blokować.
Prawda jest taka, że SSL na chwilę obecną to must-have i chyba tylko statyczne strony z newsami/artykułami mogą se pozwolić na jego niewdrażanie (a i tak przecież każda taka strona zyskałaby przez przejście na HTTP/2.0, nie wspominając o trybie offline czy PWA). Więc nie, nie jest to żaden "pianotok "znawców"" tylko realia. I radzę nie podchodzić do tego tak chłodno, bo ostatecznie można się obudzić z ręką w czymś ciepłym