Názor k článku HTTPS by mělo být všude od Heron - "Ovšem když přijde na stránku se samopodepsaným certifikátem,...

"Ovšem když přijde na stránku se samopodepsaným certifikátem, tak ho prohlížeč vyděsí šílenou hláškou a uživatel se nikam nedostane. Přitom to není o nic méně bezpečné, než ten první případ."

Tak tohle je dárek z minulosti, kdy se rozlišovalo mezi obyč stránkou a "důležitější" s https*. Prohlížeč celkem správně musí upozornit na případ, kdy stránka má být zabezpečená, ale není možné ověřit crt.

Kdyby to prohlížeč nedělal, tak klidně můžeš podstrčit selfsigned crt nějaké banky, prohlížeč by uživateli neřekl ani slovo a data by proudila přes mitm proxy útočníka. Tohle asi nechceme.

*) Přičemž tento koncept je naprosto mimo mísu. Nelze rozhodnout, které informace jsou více důležité a které méně. Navíc se to mění v čase, zažil jsem projekty, které začínaly jako jednoduchá stránka, ze které postupně vyrostl informační systém a nikdo si nevšiml, že by bylo taky potřeba to nějak chránit.