Il certificato del server SSL è pensato per trasmettere la chiave pubblica del server. Questo è il metodo con cui puoi sapere che stai parlando con il server giusto, non un programma falso predisposto da un utente malintenzionato intento ad afferrare la tua password o i dettagli della tua carta di credito. Se il tuo browser ti avvisa del certificato, allora questa garanzia è evaporata (come rugiada al mattino Sun, come fa la solita metafora).
La reazione sana quando ci si trova di fronte a un avviso basato sul certificato dal browser è di interrompere completamente l'accesso al sito. Procedere con HTTP o HTTPS su quel sito è a tuo rischio.
Se DEVI davvero esplorare quel sito, consideralo semplicemente inaffidabile e non protetto. Non sai davvero se stai usando il vero server o uno falso. Non inviare alcuna informazione sensibile a quel server. Non considerare che tutte le informazioni inviate da quel server siano vere.
(In questa situazione, HTTPS è ancora "migliore" di HTTP nel senso seguente: se l'errore non è dovuto a un attacco effettivo, ma a un'errata configurazione errata, HTTPS continuerà comunque a fare qualche SSL che offrirà una certa protezione contro attaccanti passivi , che spiano la linea ma non tentano di interferire con gli scambi di dati.Questa non è una grande protezione, perché gli aggressori passivi sono rari.)