Por que o HTTPS se tornou o método padrão em vez do S-HTTP?

EDIT: Eu tenho visto o RFC 2817 chamado "S-HTTP" em alguns lugares, mas isso está errado e não tem nada a ver com a pergunta, que foi sobre o RFC 2660, como @Dave Holland apontou em sua resposta. Alguns elementos da minha resposta também podem se aplicar à RFC 2660, e pode ser útil para comparação, pois há semelhanças, mas eu realmente não mereço o voto para cima aqui. Desculpas pela confusão ...

Acho que as censuras gerais feitas ao HTTP atualizado para o TLS em comparação com o HTTPS são de que seria possível fazer um ataque de downgrade interceptando, mas não retransmitindo a mensagem Upgrade ( embora o servidor possa fazer algo a respeito) e, do ponto de vista do navegador, é mais difícil identificar se o URI deve ser seguro ou não ( https:// vs. http:// prefix). (Isto é claro, os argumentos muito opostos usados pelos protocolos que usam mecanismos como STARTTLS , muito mais semelhantes ao HTTP S-HTTP atualizado para o TLS.) Em ambos os casos, os protocolos têm que ser configurado corretamente (conjuntos de codificação corretos, ...) e a interface do usuário deve fornecer o suficiente para o usuário julgar se a conexão é segura ou não (certificado bom / certificado ruim, ...).

Mais importante, provavelmente tem a ver com as "forças do mercado", que historicamente implementaram o HTTPS, mas não o S-HTTP, e não viram nenhuma razão para mudar (no nível SSL / TLS subjacente, ele foi longo o suficiente para mudar de SSLv2, para SSLv3 e TLSv1 e acima).

Além disso, o RFC 2817 foi publicado em 2000 e, nessa época, o HTTPS já existia há algum tempo. O mecanismo Upgrade também depende do uso do HTTP 1.1, enquanto que o HTTPS pode funcionar no HTTP 1.0 também (e, na época, nem tudo era compatível com HTTP 1.1).

Você pode encontrar esses tópicos de interesse:

• Lista de discussão TLS do IETF: A RFC 2817 propôs a revogação do status padrão?
• link

O SHTTP foi inventado e implementado no Mosaic e NCSA httpd em 1993. HTTPS ganhou no mercado porque a Mosaic Communications Corporation / Netscape desenvolveu e incorporou o SSL no Netscape Navigator e no Netscape Enterprise Server. O Netscape recusou-se a implementar o SHTTP. Ninguém queria usar o Mosaic após o lançamento do Netscape.

Alguns comentários / tópicos de tomadores de decisão reais na época seriam interessantes - posso dizer que na época, não me lembro de ouvir muito sobre s-http, e https estava lá desde o início.

Em retrospectiva - a especificação s-http parece ser muito aberta e flexível, o que pode ser o que a matou - https eu acredito que especificou o uso de SSL e implicou o uso de uma PKI global e como isso funcionaria - onde -http disse "sim, podemos fazer isso, se você quiser ... além de todas essas outras coisas".

Eu posso dizer que o S-HTTP criptografa mensagens individuais, e HTTPS criptografa todo o canal de comunicação, isso pode ser parte do motivo do ponto de vista técnico. Devido ao fato de que ele criptografa apenas mensagens individuais, ele não pode ser usado como um protocolo para coisas como VPN. Eu realmente não pretendo saber o contrário. Consulte o link para obter mais detalhes sobre o S-HTTP.