Ondanks kleine stappen gebruiken de meeste websites nog altijd geen SSL, waardoor gebruikers onnodig risico lopen. Het gebruik van SSL, bekend aan de gekleurde adresbalk en weergave van HTTPS, zorgt ervoor dat kwaadwillenden in principe de verbinding niet kunnen afluisteren. Vorig jaar verscheen de Firefox Firesheep plugin, die liet zien hoe gevaarlijk het is als websites de gehele sessie niet over HTTPS laten lopen. Ook al wordt er over HTTPS ingelogd, als alle volgende pagina's over het onversleutelde HTTP lopen, kan een aanvaller op bijvoorbeeld een open draadloos netwerk de sessie cookies stelen en zich vervolgens als het slachtoffer uitgeven.

Facebook en Twitter kwamen met een HTTPS-optie, maar die staat standaard niet ingeschakeld, tot groot ongenoegen van Julien Sobrier van beveiligingsbedrijf Zscaler. "De helft van de gebruikers begrijpt niet wat deze optie doet en de andere helft weet de nieuwe feature niet te vinden omdat die goed in hun profiel zit verstopt."

Daarnaast werkt de optie op Facebook niet naar behoren. De meeste applicaties op de grote sociale netwerksite ondersteunen geen SSL. Gebruikers krijgen dan wel een waarschuwing, maar moeten vervolgens eerst uitloggen en dan weer inloggen om HTTPS terug te krijgen. Vanwege deze moeite en compatibiliteit blijven veel gebruikers daarom over een onbeveiligde verbinding Facebook gebruiken.

Google
Het onlangs gelanceerde Google+ doet het volgens Sobrier een stuk beter, aangezien de website alleen over HTTPS werkt. Daardoor is het niet mogelijk om cookies van gebruikers onversleuteld te versturen. En ook de zoekmachine van Google is over HTTPS aan te roepen, in tegenstelling tot Microsoft Bing, dat alleen een onbeveiligde zoekmachine biedt.

Toch heeft ook Google nog het nodige te doen, gaat Sobrier verder. Zo zijn er tal van diensten nog niet over HTTPS beschikbaar, waaronder het grote advertentienetwerk Adsense.

Op mobiele platformen is de situatie nog veel erger, mede omdat het voor gebruikers niet zichtbaar is of gevoelige informatie over HTTP of HTTPS verstuurd wordt. "Hoewel sommige sites maatregelen hebben genomen om gebruikers te beschermen, is er nog veel te doen. HTTPS zou standaard ingeschakeld moeten zijn voor alle nieuwe websites waar gebruikers kunnen inloggen." Het gaat dan niet alleen om het inloggen, maar om alle requests die een cookie versturen.