Wenn User weder "http://" noch "https://" eingibt und der Browser die Seite noch nicht kennt, wird immernoch "http://" angenommen.
Das sollte wirklich auf https:// geändert werden. Secure by default und so. Aber mein Bug Report bei Firefox wurde eingestampft

Wenn ein User unbedingt http will, ist das OK. Aber der Browser sollte entsprechend den User warnen.