Quando viene visualizzato un avviso di sicurezza, l'utente dovrebbe trattarlo come un'emergenza di sicurezza su vasta scala e attivare procedure di contenimento e recupero dei danni. È noto che gli utenti non lo fanno; invece, fanno clic su OK o Annulla (a seconda di quale sia il più vicino alla posizione corrente del puntatore del mouse).
Nella situazione che descrivi, l'utente sta tentando di contattare un sito inesistente: non esiste una percentuale disite2.com
abilitata per SSL. A causa di un capriccio di HTTPS, il server non può restituire la risposta corretta (ovvero "connessione rifiutata") e avvia invece una connessione SSL con il certificato per site1.com
(da qui l'avviso). Una volta eseguito l'handshake SSL, il browser invia l'URL effettivo (che contiene site2.com
), il server viene a conoscenza del problema e cortesemente offre un reindirizzamento al sito non HTTPS.
Se il browser client è abbastanza recente, potrebbe utilizzare l'estensione Nome server , fornendo un'indicazione avanzata del nome del server che il browser tenta di raggiungere (cioè site2.com
), che consentirebbe al server di abortire il livello SSL in anticipo, evitando il popup di avviso di sicurezza sul client (il server dovrebbe comunque essere configurato per implementare tale comportamento, però).