A questão está no contexto de o recente anúncio do Google de que em breve ele adicionará um aviso "não seguro" a todos os sites HTTP. Meu site é HTTP e não é muito mais do que um simples site “ Hello, World! ”.
Não possui formulários para entrada do usuário. Não obtém conteúdo de outras fontes e não possui links externos. Então, como pode não ser seguro?
É inseguro porque as pessoas que usam redes Wi-Fi abertas expõem suas solicitações HTTP GET ao público em geral. Qualquer pessoa na mesma rede Wi-Fi aberta pode ver quais sub-páginas do seu site estão lendo. Isso pode não ser uma informação que eles querem expor ao público em geral.
Por outro lado, um site HTTPS apenas expõe a consulta DNS ao nome do domínio. As pessoas não podem ver as subpáginas do seu site que outras pessoas estão lendo.
Além do ataque passivo que permite que as pessoas (ruins) saibam o que os usuários estão lendo, o HTTP permite um ataque ativo quando alguém intercepta ou desvia o tráfego e o altera.
Por exemplo, suponha que você tenha amigos que confiam no seu julgamento sobre comida, e o proprietário do Joe's Diner configura um servidor falso para que, quando alguém solicitar uma página do seu site em vez do "Hello World", você realmente os escreva Veja 'Joe's Diner é realmente ótimo, eu pessoalmente verifiquei e você deve comer lá todos os dias!'. Na verdade, Joe é um bandido e sua comida está contaminada, então seus amigos adoecem e morrem. Quando suas famílias analisam os caches de seus navegadores e veem os conselhos do seu site mortos, seus entes queridos podem ficar irritados com você.
É seguro o suficiente para "você". Mas para alguém que o acesse, pode não ser seguro.
Isso é tópico, já que um serviço popular está veiculando imagens de inscritos usando http. À medida que outros assinantes "percorrem" essas imagens, eles expõem informações sobre suas "preferências", pois as imagens podem ser vistas por qualquer pessoa farejando o tráfego.
Se você está apenas hospedando o clima, isso pode não importar. Qualquer um que digitar credenciais deve estar preocupado, e mesmo com https ou RDP dentro de uma VPN, elas não são necessariamente seguras de agências soberanas, como a NSA.
Estar logado em uma conta do Google não fará nenhum favor a eles.
Mas esse rótulo não significa que seu site seja mal-intencionado ou uma ameaça, embora uma pessoa sugestionável possa se convencer de que pode ser.