> сиюминутную задачу максимально быстро и грязно.

Не отменяет кучи дурных атак на сам протокол, вплоть до того что атакующий мог убедить клиент и сервер юзать небезопасные алгоритмы элементарным даунгрейдом протокола.

Иногда скелетов в шкафу надо выкидывать. И в коде и в протоколе, коли уж сразу сделать не смогли. А потом такие как ты прикольно кипишуют когда почему-то народ с радостными воплями выкидывает опенвпн и прочие айписеки в пользу вайргада, про которого торвальц сравнив размер кода выдает "work of art" :D. Вот SSL/TLS давно просится на ту же участь.

> нет hearbeat - нет проблемы, да?

Да. Без этой фичи вполне можно жить и поэтому совершенно ни к чему запихивать ее вообще всем в дефолтную реализацию протокола на всякий случай. Потому что потом приходит какой-то хрен и делает фиг знает чего. Крипто это не то место где надо наваливать кал и костыли про запас.

> Ну так у тех у кого вообще http без ненужно-шифрования там где оно действительно не нужно -
> тоже ничего не болит.

Тут на самом деле трудно угадать где оно реально не нужно. Разве что в твоем интранете, при уверенности что он целиком под твоим контролем и никто не хулиганит. В остальных случаях креативно настроенные блэкхэты подкинут море интереснейших сюрпризов.

> белки-истерички не могут не метаться.

Ну как, делать из чужих проблем свои непонятно ради чего желающих тоже мало. Если авторы бакланят в безопасности - что ж теперь поделать? Майнеры из систем раз в месяц вынимать? Это не прикольно.

> ну вот пользователи gnutls'нутых поделок уже убедились что нет, не могут.

Да там и с openssl черт знает что. Ну вон ирц клиент. А теперь удачи понять как и кому он такой доверяет, допустим, вообще. Ну вот такой протокол что в лучшем случае это можно одуплить только будучи экспертом в вон той мегалибе, перечитав горы кода. Без этого все просто не гарантировано.