Hallo localhorst, @Linuchs
Außerdem dürftest Du per http (ohne TLS) inzwischen auch keine Benutzerdaten mehr transportieren, erst recht keine Logindaten!
Um es (noch) schärfer zu formulieren: Es gibt heutzutage keinen Grund mehr, für eine öffentliche Website unverschlüsseltes HTTP zu verwenden. Vielleicht gibt es seeeeeeeehr wenige, krude Anwendungsfälle, in denen das tatsächlich notwendig ist.
Man sollte daher definitiv HSTS und HSTS preloading einsetzen.
Gruß
Julius