La domanda qui è da chi vuoi essere protetto. L'uso di SSL / TLS con certificati firmati non è così sicuro per qualcuno che sta scherzando con quasi tutti gli stati al mondo. Questo perché le CA possono essere costrette a fornire alle autorità la chiave privata che hanno rilasciato a un sito web specifico. Ciò consente ai paesi in cui si trovano le CA di decrittografare il traffico SSL di questo sito. Poiché molti sevizi di initellegence cooperano con altri paesi "amici", si può presumere che la crittografia basata su certificati firmati non sia così sicura per un nemico dello stato.
Questo può teoricamente essere aggirato emettendo un certificato autofirmato ma poi le autorità possono anche recarsi in una CA dire loro di emettere un certificato firmato per quel sito e quindi cambiare il certificato autofirmato con quello firmato che possiedono in un Attacco MITm.
Anche se suggeriamo che le autorità non possano decifrare questo traffico, il problema è che possono determinare quali siti web visitate. Questo perché i nomi degli host devono essere risolti dal DNS e il DNS non è crittografato in quasi tutti i casi. E spesso visitando siti web gestiti da ISIS o Al Qaida ti inserirai definitivamente nelle liste di intellegence anche se non sanno esattamente cosa stai facendo là fuori.
Usano TOR perché tor aggiunge un altro livello di crittografia e instrada anche ogni pacchetto su tre host, il che rende più difficile ottenere chi inizialmente desiderava visitare un sito Web specifico.