Le altre 2 risposte sono eccellenti, ma ho pensato di lanciare questo registro sul fuoco:
Se sei al lavoro (o dovunque tu stia utilizzando un computer che non è al 100% sotto il tuo controllo), allora non dovresti assumere alcuna sicurezza, neanche quando usi SSL.
Conosco molte grandi organizzazioni che distribuiscono i propri certificati di origine e hanno un dispositivo intercettazione SSL sulla loro rete. Questi dispositivi possono MITM il traffico SSL generando un certificato falso in tempo reale e firmando con la propria radice. Queste organizzazioni installano il certificato radice su tutte le loro apparecchiature, quindi se si utilizza un laptop aziendale, ad esempio, si fida già di questa root.
Se sei particolarmente cinico, potresti credere che le grandi CA e le CA sponsorizzate dal governo (come il ministero delle informazioni in Cina) stanno offrendo certificati falsi alle forze dell'ordine, ai servizi segreti e / o militari proprio per questo scopo.
L'unico modo per evitare il questo tipo di sniffing SSL è essere pignoli su quali CAI si fidi (ho rimosso molte CA sul mio laptop personale) e utilizzare un plug-in di tracciamento certificato come Certificato Pattuglia. Certificate Patrol manterrà traccia dei certificati che hai visto in passato (una sorta di primo criterio di fiducia) e ti notificherà se un certificato cambia in modo imprevisto.