SSL è composto da due parti principali:
- la crittografia dei dati
- la convalida che stai effettivamente parlando al server previsto
Se viene visualizzato un avviso relativo a un certificato non attendibile, la crittografia continuerà a funzionare, ma non si è certi che si stia parlando con il server previsto. Ciò significa che un uomo nel mezzo dell'attacco potrebbe essere possibile dove un attaccante attivo decodificherà, annuserà e riedificherà il traffico. Questo è invece questo:
Browser <----------- encrypted -----------------------> Bank
ottieni questo:
Browser <-- encrypted --> Attacker <--- encrypted ----> Bank
In questo caso l'utente malintenzionato può annusare tutti i dati (password ecc.) e persino modificare i dati e il client non se ne accorge. Le connessioni sono ancora crittografate, ma non end-to-end (da browser a server) ma da browser ad attaccante e di nuovo da attaccante a server.
Di solito non devi ignorare l'avviso del browser perché è probabile che ci sia un uomo nel mezzo dell'attacco in corso. Solo nel caso in cui si sappia che il certificato è quello atteso (verificare l'impronta digitale, non solo l'oggetto del certificato) è possibile ignorare l'avviso.
Si noti che ci sono casi di attacchi legali nel mezzo, cioè intercettazione SSL eseguita da proxy antivirus o da middleboxes (firewall) in modo che questi possano analizzare il traffico crittografato. In questo caso il computer viene configurato automaticamente per considerare attendibili questi certificati oppure è necessario importare esplicitamente la CA proxy che ha firmato i nuovi certificati. Se stai riscontrando questo tipo di problemi mentre usi il tuo computer all'interno dell'azienda, chiedi all'amministratore di rete come procedere e non accettare semplicemente i certificati.