Solucionado
Digamos que tenho um cliente que é um webApp, por exemplo, em Javascript hospedado em um website que está sendo servido em HTTP, ou ainda um Aplicativo Cordova que por ser instalado num celular não roda em HTTPS.
Quando esse cliente (não seguro) consome uma API em HTTPS, as informações trafegadas entre eles estão seguras?
Fala aí Marco, blz?
Lembre-se sempre que o https vai estar rodando do lado do servidor. Ou seja o seu app em cordova vai consumir um serviço que está sendo servido em https. Dessa forma o a transferencia será tratada como segura.
Olá Fernando, obrigado pela resposta.
Só para ficar claro, se o usuário digita o e-mail e senha num webApp, que faz uma requisição Ajax para o servidor em HTTPS, esse e-mail e senha já estão criptografados mesmo sem ter havido qualquer interação anterior com o server?
O browser faz o download do certificado e faz a criptografia automaticamente antes de fazer qualquer requisição, é isso?
Com isso não há a necessidade das duas pontas estarem sendo servidas em HTTPS, basta uma ponta ser HTTPS que já é o suficiente?
Bom dia! Marco, o cliente, ao fazer tentar se comunicar com o servidor terá que escolher um protocolo. Ele não vai usar http e o servidor https. Ou os dois usam http ou os dois usam https para aquela conexão que é única (stateless).
Veja, você pode acessar seu app por meio de http, mas, se em algum momento ele for consumir algo de um serviço comunicando-se com este serviço usando https, esta (e apenas esta) comunicação será criptografada.
Vejamos:
Espero ter ajudado a esclarecer. Se ficou dúvidas, pergunte que tento explicar melhor.
Perfeito. Obrigado pela resposta Thiago!