Facciamo breve:
- Su HTTP tutti possono ascoltare facilmente. Gli attacchi MITM non sono un problema.
- Nella HTTPS (self-signed) tutto è di almeno crittografato, è molto più difficile da MITM-attacco e solo i proprietari della chiave privata può ascoltare.
- Il HTTPS (non auto-firmato - > "di fiducia da parte del fornitore del browser") è come 2, ma l'illusione è creata che questo è di gran lunga più sicuro di self-signed, ma alla fine abbiamo dovuto fidarsi del Browser Vendor per non commettere errori (o essere corrotto)
Per quanto mi riguarda l'opzione 1 è di gran lunga meno sicuro di 2, ancora Browser lamentano HTTP non a tutti, ma di certificati autofirmati estremamente dure: parecchi scatti sono necessari per stabilire la connessione, otherise bloccano completamente la connessione con messaggi inquietanti . Perché è questo?
Naturalmente, conosco il motivo dei certificati: per assicurarmi che quello con cui stai parlando sia quello con cui vuoi davvero parlare. Ma su HTTP non hai la crittografia e non hai fiducia. Su HTTPS (autofirmato) hai almeno la crittografia.
Quindi, non dovrebbe essere proprio come il seguente?
- HTTP attiva l'errore "big fat red"
- HTTPS + autofirmato ha un'icona di avviso ma funziona regolarmente
- HTTPS + "certificato fidato" non emette alcun avviso
Quali sono i motivi qui?