Почему это?
Потому что, если есть сайт, который претендует на то, чтобы быть законным сайтом, вы действительно хотите знать об этом как пользователь!
Послушайте, безопасное соединение с атакующим чертовски плохо, и каждый мужчина и его собака могут сделать самозаверяющий сертификат. нет врожденного доверия к самозаверяющему сертификату от кого-либо, кроме корней доверия, которые вы установили в своем браузере. Созданный по умолчанию набор доверительных корней выбирается (осторожно!) Создателем браузера с целью, чтобы система доверяла только ЦС, действующим только для обеспечения доверия, и это в основном работает. Вы также можете добавить свои собственные доверительные корни, и если вы используете частный центр сертификации для тестирования, вам следует.
Это настоятельно не рекомендует веб-разработчикам использовать потрясающую технологию, такую как SSL, из-за опасений, что пользователи сочтут этот сайт крайне сомнительным. Нелегитимные (т. Е. Фишинговые) сайты отлично работают по HTTP, поэтому это не может быть проблемой.
Что ?! Вы можете получить законный сертификат за очень мало. Вы можете установить свой собственный корень доверия бесплатно (плюс немного работы). Любой, кто развивается и стонет по этому вопросу, просто ленится и / или слишком дешев, и я не сочувствую таким отношениям.
В идеале браузер должен искать информацию, которую вы хотите сохранить в безопасности (например, вещи, похожие на номера кредитных карт), и выдавать такого рода предупреждения, если была попытка отправить эти данные по небезопасному или ненадежно защищенному каналу. , Увы, по результатам проверки трудно понять, являются ли данные частными или нет; так же, как нет такого понятия, как бит ЗЛО, так и бит ЧАСТНЫЙ. (Может быть, распространенная система метаданных могла бы сделать это… Да, верно. Забудьте об этом.) Поэтому они просто делают все возможное, и отмечают ситуации, когда существует большая вероятность возникновения проблемы.
Почему они делают это таким большим делом? Разве SSL не имеет, даже если его нельзя доверять лучше, чем его вообще нет?
С какой моделью угрозы вы имеете дело?
Производители браузеров сосредоточились на случае, когда любой может синтезировать сертификат SSL (потому что это действительно так), и взломы DNS слишком распространены; комбинация этих средств означает, что вы не можете знать, что IP-адрес, который вы получили для имени хоста, соответствует законному владельцу этого домена, и любой может претендовать на то, что владеет этим доменом. Ах, но вы вместо этого доверяете центру сертификации, чтобы хотя бы проверить, что он выдает сертификат нужному человеку, и этого, в свою очередь, достаточно (плюс несколько других вещей), чтобы можно было решить, говорите ли вы с законный владелец домена; это обеспечивает основу для всего остального доверия, вовлеченного в безопасный разговор. Надеемся, что банк будет использовать другие неблокируемые сообщения (например, письмо, отправленное по почте), чтобы сказать людям, чтобы убедиться, что идентификация сайта правильная (сертификаты EV немного помогают здесь), но это все еще немного, учитывая бинт как не подозрительны некоторые пользователи.
Проблемы с этим исходят от ЦС, которые не применяют надлежащие проверки (честно говоря, их следует выгнать с поезда для невыполнения своих обязанностей) и пользователей, которые скажут кому-нибудь что-нибудь. Вы не можете помешать им преднамеренно размещать свои собственные CC # на общедоступной доске объявлений, управляемой некоторыми смутными персонажами из Смоленска [1] , независимо от того, насколько глупа идея, которая…
[1] Не то чтобы с этим городом что-то не так. Смысл был бы таким же, если бы вы заменили Таллахасси, Балларата, Лагоса, Чунцина, Боготы, Салерно, Дурбана, Мумбаи,… Везде есть сволочи.