Se il servizio è http su TLS / SSL la comunicazione è completamente sicura?

Per rispondere alla domanda principale del titolo: Sì, una specie di. (Mi piacerebbe fornire una visione opposta alla risposta di Andrew.) L'intero concetto di certificati si basa sulla fiducia. Ti stai fidando che il sito o il servizio con cui stai comunicando e i fornitori di CA sono entrambi affidabili per cominciare. Se inizi con questa ipotesi, puoi essere ragionevolmente sicuro che la tua privacy è protetta dall'accesso non autorizzato al di fuori di tali parti.

Se non puoi più fidarti della CA, o se non puoi fidarti del servizio o del sito web che stai utilizzando per proteggere i tuoi dati, allora l'intero processo si guasta. Se una CA o un servizio consente alle agenzie di intelligence di visualizzare i propri dati o una backdoor, allora ovviamente non ci si può fidare, ma sarebbe comunque l'accesso autorizzato . Per analogia, tu e il tuo padrone di casa avete entrambe le chiavi del vostro appartamento. Ti fidi del tuo padrone di casa di non lasciare entrare nessuno nel tuo appartamento se non tu? Se il proprietario sceglie di lasciare entrare qualcun altro senza la tua autorizzazione, questo è ancora autorizzato accesso. (Al contrario di accessi non autorizzati come copiare la chiave quando non si guarda, prendere la serratura della porta o buttare giù la porta.)

No. I certificati di root aggiuntivi nel key store / wallet del tuo browser (o computer) possono essere utilizzati per attirare attacchi Man-in-the-middle nel caso in cui chiunque nella catena di fornitura di Internet sia in grado di ottenere un certificato firmato per il server web che stai connettersi da una di quelle CA radice aggiuntive. Ad esempio, supponi di avere una CA radice turca nel tuo keystore sul tuo Mac. Se il tuo ISP può richiedere all'autorità di root turca di emettere un certificato server per l'host www.whatsapp.com (bustarella, servizio di intelligence in Turchia), la tua connessione dal tuo computer o telefono a whatsapp.com può essere indirizzata a un server centrale per un MITM attacco.

Rimuovi quelle CA root non attendibili e sarai più sicuro. Potresti avere un problema con il nuovo attacco logjam, che è un attacco di downgrade della suite di cifratura, o con l'uso di un algoritmo che i crittografi ora credono strongmente possa essere infranto (una manciata di tasti DH comunemente usati di lunghezza 1024 bit o inferiore). p>

Vedi queste risposte su Come la NSA può interrompere le sessioni Web e VPN e Attacco MITM contro SSL .

Non ho mai studiato la sicurezza di Skype.

L'esatto livello di sicurezza di TLS / SSL non è veramente rilevante qui. Perché è abbastanza buono che il modo più semplice per intercettare una sessione in WhatsApp o simili è di compromettere uno degli endpoint, che necessariamente hanno accesso ai dati non crittografati.