Pour moi, la solution est simple, on affiche les sites en HTTPS avec clé non validée comme "https+insecure://" dans la barre d'adresses, et sinon exactement comme du HTTP non crypté (pas de coloration jaune etc.) et on n'a plus besoin de mettre des avertissements dans tous les sens. (Et si l'utilisateur veut savoir pourquoi "+insecure", il y a un bouton pour les détails sur le certificat, comme d'habitude en HTTPS.)