Система SSL-сертификатов себя дискредитировала и от ряда злоумышленников больше не защищает. Причём, успешные атаки на эту систему носили организационный характер, никак не технический и тем более не криптографический. Вот организационный-то элемент защиты и оказался очень слабым звеном.
Весь эффект SSL-сертификации для пользователя сводится к двум состояниям: «браузер ругается» и «браузер молчит». С такой бинарностью очень трудно работать и легко злодействовать.
Браузер будет молчать, если сайтом предъявлен сертификат, цепочка удостоверения которого упирается в один из открытых ключей, хранящихся в доверенном списке браузера (или ОС, точно не помню). Цепочка! Любой длины и разнообразия. Например, весь из себя белый и доверенный "Тавте" выдаёт сертификат мексиканской компании "Тодо Бьен ЛТД", та выписывает цидулю некоей фирме "Аль Хак ибн Крак" из ОАЭ, а та выдаёт уже совсем левой конторке "Кингпин Интернейшнл", зарегистрированной в Арулько. А потом кто-то удивляется, что изготовленный в Китае перехватчик HTTPS запросто представляет от имени всех сайтов формально валидный сертификат так, что браузер не ругается. А всю цепочку оценивать пользователь не станет.
Ваш покорный слуга как-то рискнул поставить себе плагин к браузеру, который отслеживает смену сертификатов (Certificate Patrol). Не думал я, что посыпется такое количество алертов. Например, у Гугла – более сотни доменов с https, а сертификаты на них выданы беспорядочно: звёздочка (wildcard) то стоит на 4-м уровне, то на 3-м, то вообще отсутствует. Я понимаю, огромное хозяйство – бардак неизбежен. То и дело бывает, что сертификат меняется за год до истечения его срока. Иногда срок нового короче, чем срок старого. Естественно, плагин в этих случаях поднимает тревогу. И что с ней прикажете делать?
Вариант у пользователя только один – отказаться установления https-соединения. Интересно, кто-нибудь пробовал отказаться от Гугла? Думаю, жить такому параноику бодет сложнее, чем строгому вегетарианцу.