Có rất nhiều người cảm thấy rằng hệ thống này bị hỏng.
Đây là logic đằng sau lý do tại sao trình duyệt của bạn sẽ đưa ra cảnh báo đáng báo động như vậy khi chứng chỉ SSL không hợp lệ:
Một trong những mục đích thiết kế ban đầu của cơ sở hạ tầng SSL là cung cấp xác thực các máy chủ web. Về cơ bản, nếu bạn truy cập www.bank.com, SSL cho phép máy chủ web phản hồi để chứng minh rằng trên thực tế, nó thuộc về ngân hàng của bạn. Điều này ngăn một kẻ mạo danh thao túng DNS hoặc sử dụng một phương pháp khác để có một máy chủ độc hại phản hồi.
"Tin cậy" trong SSL được cung cấp bằng cách yêu cầu bên thứ ba đáng tin cậy (các công ty như VeriSign và Thawte Consulting) ký chứng nhận, cho biết rằng họ đã xác minh rằng nó thuộc sở hữu của người đó (theo lý thuyết bằng cách truy cập quản trị viên CNTT người hoặc phương pháp khác tạo niềm tin trực tiếp, mặc dù bằng chứng cho thấy họ thực sự khá lỏng lẻo về điều đó - tất cả những gì cần có để có chứng chỉ SSL đã ký thường là 800 số và một chút kỹ năng diễn xuất).
Vì vậy, nếu bạn kết nối với máy chủ web cung cấp chứng chỉ SSL, nhưng nó không được ký bởi bên thứ ba đáng tin cậy, theo lý thuyết, điều này có thể có nghĩa là bạn đang liên lạc với một kẻ mạo danh giả danh là máy chủ thuộc một tổ chức khác .
Trong thực tế, chứng chỉ tự ký thường chỉ có nghĩa là tổ chức chạy máy chủ đã chọn không trả tiền cho chứng chỉ đã ký (chúng có thể khá đắt, tùy thuộc vào các tính năng bạn muốn) hoặc thiếu chuyên môn kỹ thuật để định cấu hình ( một số giải pháp doanh nghiệp nhỏ cung cấp cơ chế một lần nhấp cho chứng chỉ tự ký, nhưng để có được chứng chỉ tin cậy đòi hỏi nhiều bước kỹ thuật hơn).
Cá nhân tôi tin rằng hệ thống này đã bị hỏng và việc liên lạc với máy chủ không cung cấp mã hóa sẽ nguy hiểm hơn nhiều so với giao tiếp với máy chủ cung cấp SSL với chứng chỉ tự ký. Có ba lý do trình duyệt không hành động như thế này là trường hợp:
- Truyền thông không được mã hóa là tiêu chuẩn trên internet, vì vậy nếu các trình duyệt khiến bạn nhấp qua cảnh báo để xem các trang web không cung cấp mã hóa, bạn sẽ nhanh chóng cảm thấy khó chịu và vô hiệu hóa cảnh báo.
- Do những cảnh báo nghiêm trọng cho khách hàng, thật bất thường khi thấy một chứng nhận tự ký trên một trang web sản xuất. Điều này thiết lập một hệ thống tự tồn tại: các certs tự ký là đáng ngờ vì chúng hiếm, chúng hiếm vì chúng đáng ngờ.
- Đây là âm thanh hoài nghi đối với tôi, nhưng có những công ty kiếm được rất nhiều tiền từ việc ký chứng chỉ SSL ( ho Verisign ho ), vì vậy họ sử dụng whitepapers (thuật ngữ CNTT có nghĩa là "quảng cáo dài và nhàm chán") và các ấn phẩm khác để thực thi ý tưởng rằng chứng chỉ không dấu là nguy hiểm.