ZitatSomit ist eigentlich nur gesichert, dass du mit dem entsprechenden Server kommunizierst.
Gegen das Abhören (Man-in-the-Middle-Attacke) hilft ein SSL-Zertifikat auch nur begrenzt: Jede CA (Certificate Authority; das sind die Stellen, die dir dein Zertifikatwunsch bewilligen) kann für beliebige Domains Zertifikate ausstellen. Der Fall DigiNotar hat gezeigt, dass dies auch tatsächlich passiert [1] – iranische Hacker haben nach Einbruch dort Zertifikate für GMail & Co. ausgestellt um den E-Mail-Verkehr mitzuschneiden. Und wenn Hacker das können, werden Geheimdienste auch recht einfach an Zertifikate für beliebige Domains kommen können, wenn sie es denn wollen (vgl. [2])
Ich will damit nicht sagen, dass SSL-Zertifikate nutzlos sind (ich selbst bevorzuge verschlüsselte Kommunikationen – nicht nur mit meinem Server, sondern generell). Ich möchte nur darauf hinweisen, dass die Hürde, die Kommunikation mitzuschneiden, nur für den Otto-Normalhacker angehoben wurde, der im gleichen WLAN wie du sitzt und nachverfolgen kann, welche Seiten du besuchst.
ZitatDaher biete ich das auch meinen besuchern teilweise (mein CDN ist unverschlüsselt) an.
Chrome erwartet von mir eine Bestätigung, wenn eine HTTPS-Seite weiteren HTTP-Content anfordert – auch auf der gleichen Domain.
Grüße,
Dominik
1: http://heise.de/-1333070, http://heise.de/-1336603
2: siehe diesen Rant: Fefes Blog